如何透過防火牆阻擋外部郵件系統連線

mail server 防火牆

菜雞 2022-11-01 13:53:59 ‧ 1791 瀏覽

分享至

請教各位前輩

公司要求只能使用內部郵件系統，小弟之前是用FQDN+IP來阻擋ｇｍａｉｌ連線，現在變成要阻擋所有外部郵件系統，FQDN+IP應該會設不完，有沒有更好的方法來實現它？阻擋ｐｏｒｔ？

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2022-11-01 14:18:41 檢舉

你需要的是 APP層級的防火牆，直接封鎖郵件服務就行了，不然你鎖PORT，你能鎖所有的PORT嘛 ? 顯然不能，不是所有的SMTP 都是 25 PORT，也不是所有的POP3 都是 110，熟悉TCPIP都應該知道這些協定在第二次交握的時候就會傳送預備連接的PORT了，第三次就會使用正確的PORT進行溝通，所以，FW可以鎖定所有的PORT ? 顯然不能，所以只能夠過 APP層級的封鎖條件才行

尼克 iT邦大師 1 級 ‧ 2022-11-01 14:58:19 檢舉

以你的問題，那私人的手機有防範嗎？

菜雞 iT邦新手 5 級 ‧ 2022-11-01 16:20:18 檢舉

多謝窮嘶發發發大的回覆，在您回覆中我獲得些靈感，在sophos防火牆中找到的解決辦法 https://support.sophos.com/support/s/article/KB-000036720?language=en_US ，方法留給同是sophos的朋友。

尼克私人手機不在我管轄範圍內，但我實測透過公司WIFI連線至WebMail可以阻擋

player iT邦大師 1 級 ‧ 2022-11-01 16:31:53 檢舉

建議先檢查公開出去的port有哪些？然後再把跟email相關的port都擋掉。
把連入的擋掉就可以了。
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

hsiang11 iT邦好手 1 級 ‧ 2022-11-01 17:41:59 檢舉

想擋下所有外部的mail service可能不是那麼容易的
還有webmail這塊，只要你沒擋到的使用者都可以用
這應該又是主管的想法了
最後大家都用手機熱點上網

腰果花生糖 iT邦新手 2 級 ‧ 2022-11-02 10:14:42 檢舉

可以考慮對外全檔，依需求申請開放白名單?!

newkevin iT邦高手 1 級 ‧ 2022-11-02 11:56:52 檢舉

寫信去各大防火牆/防毒公司建議
舉例願出多少錢買這個功能
可能比較一勞永逸

ks1217 iT邦研究生 1 級 ‧ 2022-11-02 17:59:38 檢舉

封鎖內對外所有EMAIL的FQDN (EX: mail.google.*)是比較直接的, 鎖Port 或鎖IP可能會累死

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

不明

【＊＊此則訊息已被站方移除＊＊】

Abbott

iT邦研究生 4 級 ‧ 2022-11-01 14:56:52

發出公告 : 凡是被發現使用公司不允許的網站，一律扣薪降職，扣除獎金(如果有的話)，列入汰除人員。遠比防火牆管東管西好用多了。

回應 1
分享
檢舉

菜雞 iT邦新手 5 級 ‧ 2022-11-01 16:20:32 檢舉

這的確是個好方法，再加一條把錢轉到IT身上就更棒了

登入發表回應

小處成就大事

iT邦研究生 3 級 ‧ 2022-11-01 16:16:04

首先，不知道你的防火牆支不支援直接針對APP進行封鎖之類的設定。
如果可以，那就是先去找到各種可能可以用的郵件軟體來封鎖吧。
如果不行，那就只能封鎖IMAP、POP3、SMTP等等的port了，但不知道會不會有不使用這些port來進行傳輸的郵件軟體，如果有，那也只能再一一的針對這些特殊port進行封鎖了。

看你主管的想法，感覺上示零信任政策，不過想要完全禁止員工使用外部信箱，可能真的不太容易，畢竟也能連上自己手機熱點，真的想要幹壞事，方法絕對是比你我想像的多很多的。

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

菜雞 iT邦新手 5 級 ‧ 2022-11-01 16:33:15 檢舉

謝謝回覆，的確是推行資安零信任政策沒錯，但相關保護政策及配套措施正在建立中，如您所說手機真是一個很難纏的漏洞。

小處成就大事 iT邦研究生 3 級 ‧ 2022-11-01 16:40:10 檢舉

菜雞
現在手機網路很發達、幾乎人人都是手機上網吃到飽。
就算user手機沒設定外部郵件APP，也能夠透過很多種方式將敏感資訊洩漏出去。
實行「物控」的同時，也必須進行「人控」，就如同上面Abbott大大所說，發佈相關公告讓user知曉並且頒佈罰則，這樣才能夠最有效的進行「零信任政策」，但是「人控」也是最難的部份，這部份只能讓你主管去頭疼了。

窮嘶發發發 iT邦高手 1 級 ‧ 2022-11-01 17:02:22 檢舉

IMAP、POP3、SMTP等等的port 不是固定的，尤其是加上 SSL 之後更是五花八門，看過有用 8888 也有用 16888 也有 58888 這種PORT 的，請問 FW 要怎麼攔阻這麼多的 PORT 呢

小處成就大事 iT邦研究生 3 級 ‧ 2022-11-02 09:08:07 檢舉

窮嘶發發發
Hi 窮大。
如果發文者公司的防火牆是不支援針對APP進行封鎖的，想要達成這個目的，也只能被動的去封鎖port了。
發文者公司如果是上述狀況，想要汰換成可以針對APP進行封鎖的防火牆，也會需要一筆經費，但我並非發文者公司內部成員，我無法得知他是否能夠爭取的到這筆經費，那就只能以最不理想的狀況來提供我的想法了。

登入發表回應

不明

【＊＊此則訊息已被站方移除＊＊】