公司信箱似乎變成垃圾信跳板了

mail 防毒殭屍病毒跳板防火牆

我就是我 2023-05-25 10:05:22 ‧ 3701 瀏覽

分享至

![](http:

公司信件用的是MAIL2000收信跟MAILGATES稽核
收信用的是POP3
這幾天防火牆報說收信有病毒，目前都有擋下來
原本只有一位有這個問題
我從WEB介面還有USER設備端把信件刪掉之後，安靜了一天
結果今天早上變成有2位的MAIL帳號有這種問題
上網找了些關鍵字也沒有好對策

想詢問各位前輩有沒有什麼建議呢，謝謝

看更多先前的討論...收起先前的討論...

我就是我 iT邦新手 3 級 ‧ 2023-05-25 10:07:50 檢舉

https://imgur.com/6Cz6Z8x
補上另一張示意圖

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-25 10:12:51 檢舉

這個問題，只能請你找網擎的人反應了。
但我覺得有大機率他們會推薦你多訂購郵件防護的功能之類...
總之先找網擎反應吧。

我就是我 iT邦新手 3 級 ‧ 2023-05-25 10:25:07 檢舉

他們的收信跟客服速度都讓我不是很滿意....上次寄信等了快一個月才回信，中間還催兩次，我自己是比較想從預防的角度著手

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-25 10:36:40 檢舉

你試試手動把這些寄信者IP加入到黑名單，觀察看看是否收到垃圾郵件的數量是否有變少。
目前我能想到的預防的方法也就只有這樣了。

我就是我 iT邦新手 3 級 ‧ 2023-05-25 10:41:27 檢舉

寄信者就是我公司內部同仁阿XD
所以才說變成跳板被攻擊了QQ

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-25 10:51:45 檢舉

來源IP是內部嗎？那你可能要先從該User的電腦著手了。
看看該User的電腦是否中毒之類的。

如果寄件者是公司內部，但是發信位置是外部IP，那你可能要請該User重設高強度的密碼試試。

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-25 10:56:31 檢舉

你也有說原本只有一位後來變成兩位User都有相同情況，這兩位User是否有收過同樣的郵件、有沒有存取過同樣的網路位置、又或是有使用USB互相交換檔案過，這些都有可能是「症狀蔓延」的原因。

保險一點，全公司的人員都讓防毒軟體執行一次全機掃毒吧。

我就是我 iT邦新手 3 級 ‧ 2023-05-25 11:57:55 檢舉

GPO還有資產管理有把USB鎖住
掃毒跟改密碼做過了，早上目前把感染信處理掉+黑名單
目前是沒有狀況，但我想要從防火牆上增加防禦力...查了原廠文章還是有點使不上力的感覺

窮嘶發發發 iT邦高手 1 級 ‧ 2023-05-25 12:00:12 檢舉

信哪邊進來的，要看 SMTP 紀錄，給誰才是 POP 紀錄，請先確認這堆有問題的信，是從哪邊來的，如果是混亂的IP 位址，那建議 SPF DKIM DMARC 要設好，還要有關閉 SMTP RELAY，大概這樣

我就是我 iT邦新手 3 級 ‧ 2023-05-25 13:46:41 檢舉

謝謝小處、發發發兩位前輩給的建議，我再嘗試看看

aaron3399 iT邦好手 1 級 ‧ 2023-05-25 14:34:25 檢舉

參考看看
https://ithelp.ithome.com.tw/questions/10196234

望空 iT邦新手 2 級 ‧ 2023-05-25 15:44:20 檢舉

檢查一下mailgates有沒有盡責...像是規則更新以及防毒病毒碼更新，且要做"雙向"的檢查

小處成就大事 iT邦研究生 2 級 ‧ 2023-05-25 15:53:46 檢舉

我覺得窮大的建議是重點！我都沒想到要從SPF、DKIM、DMARC下手...
你想從防火牆下手，但我覺得防火牆目前看起來已經做到它最大的努力了，畢竟它能偵測到郵件有病毒並且阻擋下來。
我想到Mail2000可以看帳號的郵件收發紀錄，跟帳號登入IP，我覺得你可以先觀察帳號的登入IP是否正常（比如都應該是公司對外IP），以及收發郵件的信件數量狀況。

souda iT邦高手 1 級 ‧ 2023-05-25 20:47:02 檢舉

不考慮用exchange online嗎?

garyjuang iT邦新手 5 級 ‧ 2023-05-26 09:23:28 檢舉

檢查一下那信件的標頭，確定是不是從MailGates進來的。
先釐清病毒信有沒有經過MailGates
有遇過dns mx有指定到Antispam，但mail server又有一個實體ip可以連(翻白眼。

我就是我 iT邦新手 3 級 ‧ 2023-05-26 09:28:38 檢舉

@AARON3399 謝謝，文章我閱讀完了
@望空 MG本來有，但有漏網之魚，FORTI是最後一道牆，不過有守下來
@小處成就大事對喔，我目前SPF有加一些，DKIM還有DMARC還在跟同事討論
@SOUDA 沒預算XDDD
@GARYJUANG 有部分是內部信件，移掉之後就沒事了

由於下禮拜跟網擎簽新的合約、版更，目前狀況穩定了，區網裡面的異常暫時都排掉了，還是有外部的垃圾信一直進來，只能再觀察

japhenchen iT邦超人 1 級 ‧ 2023-05-26 10:00:56 檢舉

如果信箱是可以自己控制的linux型，建議加裝SpamAssassin做內文關鍵字過濾

supermaxfight iT邦研究生 5 級 ‧ 2023-05-26 10:25:15 檢舉

看到好多例子，用gmail(公司網域)、樓主這個mail 2000的案例
感覺賣的人不會在乎你有沒有設定好DNS、SPF、DKIM、DMARC

我就是我 iT邦新手 3 級 ‧ 2023-05-26 10:41:14 檢舉

@JAPHENCHEN 哈，LINUX不熟，不過你講的這個我這兩天爬文有看到，謝謝前輩的資訊
@SUPERMAXFIGHT 導入的時候有設定好SPF了，DKIM那些因為我本身也沒有權限無從觀看，只能再跟我同事詢問、討論。回到廠商本身，他們的客服會通，只是效率很差而已XD

japhenchen iT邦超人 1 級 ‧ 2023-05-26 10:42:24 檢舉

這兩天X至也來我們公司打廣告，今天看到這篇跟另一篇，我還是決定，linux架的繼續用

我就是我 iT邦新手 3 級 ‧ 2023-05-26 11:20:13 檢舉

如果有穩定就繼續用就好拉

riches88 iT邦研究生 3 級 ‧ 2023-05-26 22:11:26 檢舉

不論 spf / dkim 均是用來宣告自己的出口
所以來源偽冒/釣魚等，不是靠宣告來阻攔
是系統要能反查防護偽冒來源、釣魚信件也通常不會是合法正常來源
主旨或是內容過濾是不可行的，因為那隨時變化
參考瑞鑫資訊 MXmail 。租一年mail2000費用，大概就買下一套系統了

ks1217 iT邦研究生 1 級 ‧ 2023-05-28 15:45:00 檢舉

樓主的訊息是內部IP寄出的信，表示信箱已經被猜中密碼，導致被拿來寄信，這個跟SPF或DMARC沒關係，建議請使用者變更密碼，檢測看看有沒有後門程式。
我前公司使用一套Linux的Email system，他一樣有提供Web介面，操作簡單，後續增加Linux MailGateway(SPAM)及稽核存檔系統，使用十一年完全沒有問題，存檔七年信件可以線上搜尋。
推薦給您

我就是我 iT邦新手 3 級 ‧ 2023-05-29 10:30:25 檢舉

我跟我同事討論之後，理解的情形如下
某個同事被寄了幾封病毒信，MG擋了大部分，但還是有漏網之魚卡在WEB介面
但因為我這邊的信件是POP3，會從WEB下載到電腦上面，同步頻率大概是10-30分鐘一次
但每次同步，FW都會偵測到，所以同步會失敗，FW跳警告才導致的FW的LOG一整串
後來把釣魚的垃圾信件砍掉之後，就沒有發生問題了
以上回饋給各位學長們參考，謝謝

登入發表討論