SPF敘述 (外部分辦公室寄信問題)

spf mail dkim dmarc

phl0722 2022-08-23 15:41:00 ‧ 1546 瀏覽

分享至

各位先進好，小弟公司內已佈署SPF和DKIM、DMARC，但因在外縣市辦公室仍需要寄信需求，在SPF敘述方面，外部辦公室如不轉信到總公司去寄信的話，要如何改SPF敘述?(分辦公室都是用HINET寬頻)。

原本是：v=spf1 ip4:XXX.XXX.XXX.XXX -all (外部分辦公室需要轉至總公司去寄出信件)
但總公司SMTP主機要開SMTP AUTH來認證外部分辦公室的信寄來轉出去，但會收到相當多的猜測帳密攻擊...很頭痛。

想說如只在分辦公室寄出是否要改為：
v=spf1 ip4:XXX.XXX.XXX.XXX include:spf.ms.hinet.net -all
但在DKIM機制不就失效了不是嗎?

還是有更好的方法呢?拜請教各位先進們指導

MatthewWangUS iT邦新手 3 級 ‧ 2022-08-23 16:04:44 檢舉

enable fail2ban

phl0722 iT邦研究生 1 級 ‧ 2022-08-23 16:08:52 檢舉

謝謝大大指教!!我有啟動FAIL就BAN掉，已多達上1千多筆了...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2022-08-23 16:04:48

最佳解答

你說的對: 用 include 加寫 SPF 沒錯, 但同時也失去 DKIM 簽章效力
SMTP Auth 是標準的外部用戶寄信驗證方法, 很多大企業都這樣使用
暴力猜密碼不是只有你遇到, 很多企業都遇到, 有很多解決方案, 花錢或不花錢都有
外點也可以建 Site-to-Site VPN 回總公司, 內網發信就不需要開外網 SMTP Auth

猜密碼很容易擋, 通過專業訓練認證的資安工程師, 應該沒在怕這種的:

如果是用 Linux 安裝 Postfix 架站的, 本機裡面加裝 Fail2ban 就擋住了;
買一台有 Anti SMTP Brute force 功能的防火牆 (當然, 你要會設定, 預設通常不擋)
買一台可以記錄 SMTP Auth failure 的防火牆, 把驗證失敗的 log 丟給 fail2ban 去擋
把 Mail Server 裡面的 Log 丟出來, 用 Logstash 正規化之後, 丟給 fail2ban 叫他去擋

通常, 只要你能夠記錄下 SMTP Auth 失敗的紀錄, 解析正確的 Log 欄位, 丟給 fail2ban 即時監看, 就可以自己寫出 fail2ban 的 Action script, 用指令去驅動任何網路設備, 將這個 IP 攔下來....

以上這些是資安工程師的必備技能.

回應 3
分享
檢舉

phl0722 iT邦研究生 1 級 ‧ 2022-08-23 16:18:47 檢舉

小弟公司的SPAM(中華)有開啟類似fail2ban的功能，但還是擔心。

而FIREWALL是FG101F，有看到IPS內的SMTP AUTH 相關的FILTER，如同的雷神大說的內定是PASS的.....這...小弟會專研!!
至於第4點，的確是最安全的..會朝這方面邁進的。

感謝先雷神大先進指導!!

Ray iT邦大神 1 級 ‧ 2022-08-23 16:31:19 檢舉

這樣看來你應該都有工具可以處理, 只差有沒有信心而已...

phl0722 iT邦研究生 1 級 ‧ 2022-08-23 16:37:59 檢舉

小弟還太嫩，尚需多專研，謝雷神大給了很多的寶貴經驗!!

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22135 篇

完賽人數

595 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙