iT邦幫忙

4

公司信箱似乎變成垃圾信跳板了

  • 分享至 

  • xImage

![](http:https://ithelp.ithome.com.tw/upload/images/20230525/20077521We5S8hfRKX.png

公司信件用的是MAIL2000收信跟MAILGATES稽核
收信用的是POP3
這幾天防火牆報說收信有病毒,目前都有擋下來
原本只有一位有這個問題
我從WEB介面還有USER設備端把信件刪掉之後,安靜了一天
結果今天早上變成有2位的MAIL帳號有這種問題
上網找了些關鍵字也沒有好對策

想詢問各位前輩有沒有什麼建議呢,謝謝

看更多先前的討論...收起先前的討論...
https://imgur.com/6Cz6Z8x
補上另一張示意圖
這個問題,只能請你找網擎的人反應了。
但我覺得有大機率他們會推薦你多訂購郵件防護的功能之類...
總之先找網擎反應吧。
他們的收信跟客服速度都讓我不是很滿意....上次寄信等了快一個月才回信,中間還催兩次,我自己是比較想從預防的角度著手
你試試手動把這些寄信者IP加入到黑名單,觀察看看是否收到垃圾郵件的數量是否有變少。
目前我能想到的預防的方法也就只有這樣了。
寄信者就是我公司內部同仁阿XD
所以才說變成跳板被攻擊了QQ
來源IP是內部嗎?那你可能要先從該User的電腦著手了。
看看該User的電腦是否中毒之類的。

如果寄件者是公司內部,但是發信位置是外部IP,那你可能要請該User重設高強度的密碼試試。
你也有說原本只有一位後來變成兩位User都有相同情況,這兩位User是否有收過同樣的郵件、有沒有存取過同樣的網路位置、又或是有使用USB互相交換檔案過,這些都有可能是「症狀蔓延」的原因。

保險一點,全公司的人員都讓防毒軟體執行一次全機掃毒吧。
GPO還有資產管理有把USB鎖住
掃毒跟改密碼做過了,早上目前把感染信處理掉+黑名單
目前是沒有狀況,但我想要從防火牆上增加防禦力...查了原廠文章還是有點使不上力的感覺
信哪邊進來的,要看 SMTP 紀錄,給誰才是 POP 紀錄,請先確認 這堆有問題的信,是從哪邊來的,如果是混亂的IP 位址,那建議 SPF DKIM DMARC 要設好,還要有關閉 SMTP RELAY,大概這樣
謝謝小處、發發發兩位前輩給的建議,我再嘗試看看
aaron3399 iT邦好手 1 級 ‧ 2023-05-25 14:34:25 檢舉
參考看看
https://ithelp.ithome.com.tw/questions/10196234
望空 iT邦新手 1 級 ‧ 2023-05-25 15:44:20 檢舉
檢查一下mailgates有沒有盡責...像是規則更新以及防毒病毒碼更新,且要做"雙向"的檢查
我覺得窮大的建議是重點!我都沒想到要從SPF、DKIM、DMARC下手...
你想從防火牆下手,但我覺得防火牆目前看起來已經做到它最大的努力了,畢竟它能偵測到郵件有病毒並且阻擋下來。
我想到Mail2000可以看帳號的郵件收發紀錄,跟帳號登入IP,我覺得你可以先觀察帳號的登入IP是否正常(比如都應該是公司對外IP),以及收發郵件的信件數量狀況。
souda iT邦高手 1 級 ‧ 2023-05-25 20:47:02 檢舉
不考慮用exchange online嗎?
garyjuang iT邦新手 5 級 ‧ 2023-05-26 09:23:28 檢舉
檢查一下那信件的標頭,確定是不是從MailGates進來的。
先釐清病毒信有沒有經過MailGates
有遇過dns mx有指定到Antispam,但mail server又有一個實體ip可以連(翻白眼。
@AARON3399 謝謝,文章我閱讀完了
@望空 MG本來有,但有漏網之魚,FORTI是最後一道牆,不過有守下來
@小處成就大事 對喔,我目前SPF有加一些,DKIM還有DMARC還在跟同事討論
@SOUDA 沒預算XDDD
@GARYJUANG 有部分是內部信件,移掉之後就沒事了

由於下禮拜跟網擎簽新的合約、版更,目前狀況穩定了,區網裡面的異常暫時都排掉了,還是有外部的垃圾信一直進來,只能再觀察
如果信箱是可以自己控制的linux型,建議加裝SpamAssassin做內文關鍵字過濾
supermaxfight iT邦研究生 4 級 ‧ 2023-05-26 10:25:15 檢舉
看到好多例子,用gmail(公司網域)、樓主這個mail 2000的案例
感覺賣的人不會在乎你有沒有設定好DNS、SPF、DKIM、DMARC
@JAPHENCHEN 哈,LINUX不熟,不過你講的這個我這兩天爬文有看到,謝謝前輩的資訊
@SUPERMAXFIGHT 導入的時候有設定好SPF了,DKIM那些因為我本身也沒有權限無從觀看,只能再跟我同事詢問、討論。回到廠商本身,他們的客服會通,只是效率很差而已XD
這兩天X至也來我們公司打廣告,今天看到這篇跟另一篇,我還是決定,linux架的繼續用
如果有穩定就繼續用就好拉
riches88 iT邦研究生 3 級 ‧ 2023-05-26 22:11:26 檢舉
不論 spf / dkim 均是用來宣告自己的出口
所以來源偽冒/釣魚等,不是靠宣告來阻攔
是系統要能反查防護偽冒來源、釣魚信件也通常不會是合法正常來源
主旨或是內容過濾是不可行的,因為那隨時變化
參考 瑞鑫資訊 MXmail 。租一年mail2000費用,大概就買下一套系統了
ks1217 iT邦研究生 1 級 ‧ 2023-05-28 15:45:00 檢舉
樓主的訊息是內部IP寄出的信,表示信箱已經被猜中密碼,導致被拿來寄信,這個跟SPF或DMARC沒關係,建議請使用者變更密碼,檢測看看有沒有後門程式。
我前公司使用一套Linux的Email system,他一樣有提供Web介面,操作簡單,後續增加Linux MailGateway(SPAM)及稽核存檔系統,使用十一年完全沒有問題,存檔七年信件可以線上搜尋。
推薦給您
我跟我同事討論之後,理解的情形如下
某個同事被寄了幾封病毒信,MG擋了大部分,但還是有漏網之魚卡在WEB介面
但因為我這邊的信件是POP3,會從WEB下載到電腦上面,同步頻率大概是10-30分鐘一次
但每次同步,FW都會偵測到,所以同步會失敗,FW跳警告才導致的FW的LOG一整串
後來把釣魚的垃圾信件砍掉之後,就沒有發生問題了
以上回饋給各位學長們參考,謝謝
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
zza6312
iT邦新手 2 級 ‧ 2023-05-26 12:37:19

把 Mail Relay 功能關掉

0
hsiang11
iT邦好手 1 級 ‧ 2023-05-26 21:42:46

收信有病毒通常是來自國外寄來的大量垃圾信
用fortigate是可以做到阻擋來自某國家信件的
但是要非常小心公司是否有跟該國家做業務上往來
收不到信IT還是會被罵的
大多數擋一些台灣不太往來的國家不會有大問題
而且會寄大量垃圾信的都是些比較小的國家

1
hauyaren
iT邦新手 3 級 ‧ 2023-05-26 23:52:28

群暉NAS的免費版MailServer是不錯的選擇。

Mail2000是界通科技的產品嗎?

網擎喔

我要發表回答

立即登入回答