iT邦幫忙

0

SPF敘述 (外部分辦公室寄信問題)

  • 分享至 

  • xImage

各位先進好,小弟公司內已佈署SPF和DKIM、DMARC,但因在外縣市辦公室仍需要寄信需求,在SPF敘述方面,外部辦公室如不轉信到總公司去寄信的話,要如何改SPF敘述?(分辦公室都是用HINET寬頻)。

原本是:v=spf1 ip4:XXX.XXX.XXX.XXX -all (外部分辦公室需要轉至總公司去寄出信件)
但總公司SMTP主機要開SMTP AUTH來認證外部分辦公室的信寄來轉出去,但會收到相當多的猜測帳密攻擊...很頭痛。

想說如只在分辦公室寄出是否要改為:
v=spf1 ip4:XXX.XXX.XXX.XXX include:spf.ms.hinet.net -all
但在DKIM機制不就失效了不是嗎?

還是有更好的方法呢?拜請教各位先進們指導

enable fail2ban
phl0722 iT邦好手 8 級 ‧ 2022-08-23 16:08:52 檢舉
謝謝大大指教!!我有啟動FAIL就BAN掉,已多達上1千多筆了...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

3
Ray
iT邦大神 1 級 ‧ 2022-08-23 16:04:48
最佳解答
  1. 你說的對: 用 include 加寫 SPF 沒錯, 但同時也失去 DKIM 簽章效力
  2. SMTP Auth 是標準的外部用戶寄信驗證方法, 很多大企業都這樣使用
  3. 暴力猜密碼不是只有你遇到, 很多企業都遇到, 有很多解決方案, 花錢或不花錢都有
  4. 外點也可以建 Site-to-Site VPN 回總公司, 內網發信就不需要開外網 SMTP Auth

猜密碼很容易擋, 通過專業訓練認證的資安工程師, 應該沒在怕這種的:

  • 如果是用 Linux 安裝 Postfix 架站的, 本機裡面加裝 Fail2ban 就擋住了;
  • 買一台有 Anti SMTP Brute force 功能的防火牆 (當然, 你要會設定, 預設通常不擋)
  • 買一台可以記錄 SMTP Auth failure 的防火牆, 把驗證失敗的 log 丟給 fail2ban 去擋
  • 把 Mail Server 裡面的 Log 丟出來, 用 Logstash 正規化之後, 丟給 fail2ban 叫他去擋

通常, 只要你能夠記錄下 SMTP Auth 失敗的紀錄, 解析正確的 Log 欄位, 丟給 fail2ban 即時監看, 就可以自己寫出 fail2ban 的 Action script, 用指令去驅動任何網路設備, 將這個 IP 攔下來....

以上這些是資安工程師的必備技能.

phl0722 iT邦好手 8 級 ‧ 2022-08-23 16:18:47 檢舉

小弟公司的SPAM(中華)有開啟類似fail2ban的功能,但還是擔心。

而FIREWALL是FG101F,有看到IPS內的SMTP AUTH 相關的FILTER,如同的雷神大說的內定是PASS的.....這...小弟會專研!!
至於第4點,的確是最安全的..會朝這方面邁進的。

感謝先雷神大先進指導!!

Ray iT邦大神 1 級 ‧ 2022-08-23 16:31:19 檢舉

這樣看來你應該都有工具可以處理, 只差有沒有信心而已...

phl0722 iT邦好手 8 級 ‧ 2022-08-23 16:37:59 檢舉

小弟還太嫩,尚需多專研,謝雷神大給了很多的寶貴經驗!!

我要發表回答

立即登入回答