iT邦幫忙

0

gmail拒絕公司信件,下列組織已拒絕您的郵件: gmail-smtp-in.l.google.com。

各位前輩好,前幾天在公司的spam發現公司的帳號遭不明人士盜用,且寄出大量信件至gmail
導致目前企業信箱皆無法成功發信到gmail及購買gmail的相關企業。
而遭盜用已經是第2次了,某些因素的設定上,導致資安層級設定的很低,例如LDAP開啟25 port。(已經調高相關資安設定,防火牆,spam等避免帳號再被盜用)
目前的設定為SPAM -> mail server 設定統一由spam來收發信件。

但經由1週的設定及調整,更改對外IP,SPF,IP反解等,對外IP改了之後恢復正常3~4小時,又被GMAIL給封鎖了。
查詢公司domain及ip,沒有被列入國際黑名單。

8/3 感謝各位先進回答,目前的措施是將mail server 25 port關閉,spam設定3次密碼錯誤鎖帳號,使用者的密碼復雜度調整。
2次帳號被盜用,一次是掃描信箱(長年沒更改密碼)、第二次是沒用的公用帳號(也是長年沒更改密碼)
目前也將帳號刪除,並且設定密碼到期日。

現在遇到的問題是被gmail封鎖後,更改對外ip、依照google的建議調整相關設定,經過7天依然無法正常發信到gmail,感覺這次被封的很徹底。

請教大家有沒有過類似的經驗,這次感覺被gmail封鎖的很徹底,
請大家幫幫忙,謝謝。

看更多先前的討論...收起先前的討論...
haward79 iT邦新手 3 級 ‧ 2021-08-03 06:46:32 檢舉
唯一解就是提升貴公司的資安層級設定
不然任何措施都是沒有用的、隔一段時間就會失效
msnman iT邦研究生 1 級 ‧ 2021-08-03 10:21:09 檢舉
25port應該不是問題的來源,最大的問題應該是你寄信是否有認證後再寄出且對RELAY的IP應該要限制。
酒武 iT邦新手 5 級 ‧ 2021-08-03 14:08:08 檢舉
謝謝回答,目前公司的資安層級已經調高了,但調高後接下來要處理的就是被gmail封鎖的問題。
msnman iT邦研究生 1 級 ‧ 2021-08-04 08:23:41 檢舉
如果確定是內部電腦發出的,那從伺服器就可以查出是哪一個帳號發出,針對那個帳號及電腦進行處理就可以了。
0

建議你放棄 25 PORT。
只要還開25 PORT。
你就不要想解決這個問題了。

酒武 iT邦新手 5 級 ‧ 2021-08-03 14:08:45 檢舉

謝謝回答,25port已經關閉了,現在遇到的是被gmail封鎖的問題,感覺被封的很徹底。

0
ak02
iT邦研究生 2 級 ‧ 2021-08-03 08:09:29

被盜用
應該加強密碼的複雜度
如果第二次還是被鎖
先檢查主機是不是還是一直被當跳板發送不明信件
如果是25PORT也不會發送相關密碼資訊封包
應該先確認是不是主機本身有異常狀況才是
也搞不好本身SPAM本身就被當跳板了
不一定

酒武 iT邦新手 5 級 ‧ 2021-08-03 14:11:21 檢舉

謝謝回答,第一次及第二認都有在公司的spam上看到大量的發信記錄,嚴判應該是再次被盜用。目前已經調整防火牆及spam的相關措施。只是現在被gmail封鎖的問題一直無法解決。

0
hank_itman
iT邦新手 4 級 ‧ 2021-08-03 09:31:08

查看發信紀錄,是哪個IP發信的。

內部IP就是電腦中木馬,外部IP就用防火牆封鎖。

如果可以的話設定只有特定網段可以發信,在外人員要發信用VPN的方式連接

酒武 iT邦新手 5 級 ‧ 2021-08-03 14:12:51 檢舉

謝謝回答,發信記錄是由公司的掃描信箱的帳號,目前有調整相關措施。
只是被gmail封鎖這個問題,一直無法解決。

2
japhenchen
iT邦大師 1 級 ‧ 2021-08-03 10:47:06

如果你真的只開25,就一定要啟用SMTP帳號登入來做初步防犯

我覺得你遇到的不是盜用帳號發信,而是spoofing mail 假域名郵件,要達到防止spoofing,你們一定要在DNS上設定SPF、DMARC,最好是有DKIM,否則真的無法証明,別人是盜用你們的信箱主機域名發信(誰才是正身)

看更多先前的回應...收起先前的回應...
酒武 iT邦新手 5 級 ‧ 2021-08-03 14:14:36 檢舉

目前已經關閉mail server 25 port,統一由spam來收發信,dns已經有設定spf了,是由公司內部帳號被盜,而從公司內部發信出去的。謝謝回答

如果是面對這類木馬狂發的信,最好的方法就是設定信件流量,最大每十分鐘到半小時一封信(postfix可以這樣設),避免出現短時間巨量被認定spammer的下場

酒武 iT邦新手 5 級 ‧ 2021-08-03 14:52:50 檢舉

請問如果是針對被gmail封鎖有什麼方式可以跟gmail反應或解決的嗎?謝謝。

看嚴重性,你把gmail退回的內容(自己打碼)貼上來大家看看,比較妥當的就是有DKIM + 客戶端TLS SASL認證登入,至少可以做到被當成可信任的伺服器

0
yyliu
iT邦研究生 2 級 ‧ 2021-08-04 10:55:38

公司的 EMAIL 系統也有被盜寄郵件的問題 也被黑名單過
耗費大量時間把 DNS反解/SPF/DKIM/DMARC/SMTP TLS/Google網域認證 做起來
能做的都做了

用戶的密碼設太簡單被猜中,或手賤去開啟詐騙釣魚信件自己把密碼告訴別人,要怎麼防?
這些很賤的盜寄者,都會利用下班時後無人守值的時候,大量寄往 @google.com 及 yahoo.com

防不勝防 一周來2次

後來的消極解決方法 "EMAIL SERVER 也會上下班" ,下班時段 SMTP 只收信而不對外轉寄,還真的成功阻止好幾次這種盜寄的行為.

也要找出這些盜寄的 IP 能封多少算多少!

酒武 iT邦新手 5 級 ‧ 2021-08-04 14:02:11 檢舉

請教後來用什麼方法解決被gmail封鎖這部份呢?

yyliu iT邦研究生 2 級 ‧ 2021-08-04 21:29:26 檢舉

因情節不算嚴重 也並非全部被拒收退信
改 IP 再重作
DNS反解/SPF/DKIM/DMARC/SMTP TLS/Google網域認證

但是做完後因全符合 GOOGLE 與 YAHOO 的規範(好學生)
故也易成為 SPAMER 的肥羊 專門拿來盜寄 GOOGLE 與 YAHOO

所以要好好保護自己網路上的貞潔名譽

酒武 iT邦新手 5 級 ‧ 2021-08-05 12:23:09 檢舉

謝謝提供,我目前的做法也跟你差不多,DNS反解/SPF//SMTP TLS/Google網域認證,DKIM/DMARC 中華電信免費的網域無法支援....還在另外想辦法。

我要發表回答

立即登入回答