none
如何阻擋未經 SMTP Auth 又假冒組織內 E-Mail 的發件者? RRS feed

  • 問題

  • 我們遇到應該是員工在外的惡作劇行為。

    員工知道老闆的 E-Mail 也知道 HR 部門主管的 E-Mail,就假冒老闆的 E-Mail 寄信給 HR 指定某人加薪。幸好 HR 不是笨蛋,HR 看到以後馬上懷疑並且電話向老闆求證,所以沒讓事情擴大。

    即使是有開 SPAM content filter,這種沒有經過 SMTP Auth 又聲稱寄件者來自組織內部的信,有時候 SCL 值不夠低,還是會放行,對組織內的人員來說會有一定的困擾。雖然說當 Outlook MAPI 模式下,有經過 SMTP Auth 的信件會將寄件人改顯示為 AD 上的顯示名稱,但此法一來需要員工都有這方面的認知,二方面此法對於 POP3 收件人無效。

    是否有方法,當寄件人是組織內的位置時,若沒有通過 SMTP Auth,則這封信件就拒絕傳送呢?



    2013年1月24日 上午 02:17

解答

  • 這種一段時間冒出來的冒名垃圾信技術就只能找稍有水準的3rd-party 產品來防護了,且最新的第一波都不一定擋得住

    或者開Reverse DNS,不過開了影響可能更大

    現在的Exchange 版本或其他RFC 定義下的郵件機制好像都無法有這種針對 SMTP auth 特別設定的機制,因為gateway 本身就是要接受匿名提交


    Johnny_Yao

    • 已標示為解答 Johnson.Wang 2013年1月24日 上午 07:22
    2013年1月24日 上午 07:12

所有回覆

  • 如果沒有把Send as 權限下放給普通使用者, 怎樣可以單憑電郵地址冒認它人寄件?

    邊幫助, 邊鍛鍊

    2013年1月24日 上午 06:45
  • 沒有這麼複雜到要 send as 權限這種程度,就只是單純的由外面進來的信件而已。您可以參考一些與 SMTP talk 的 telnet 範例,會 helo / rcpt to / mail from / data 這四個命令最後打個 . 就可以把信件寄出了。若沒有開啟 SPAM content filter 等機制的話,這聲稱來自組織內部的信件一定會照單全收且交到組織內的使用者手上。
    2013年1月24日 上午 06:50
  • 這種一段時間冒出來的冒名垃圾信技術就只能找稍有水準的3rd-party 產品來防護了,且最新的第一波都不一定擋得住

    或者開Reverse DNS,不過開了影響可能更大

    現在的Exchange 版本或其他RFC 定義下的郵件機制好像都無法有這種針對 SMTP auth 特別設定的機制,因為gateway 本身就是要接受匿名提交


    Johnny_Yao

    • 已標示為解答 Johnson.Wang 2013年1月24日 上午 07:22
    2013年1月24日 上午 07:12
  • 所以看來是暫時無解了...

    我是覺得實做上並不難,信件還是讓他遞交,無需要求必須先完成 SMTP Auth,但既然是來自組織內的 E-Mail 位置,本來就該是以 SMTP Auth 通過後才可以送信,所以遇到這種時候就最後再給他錯誤訊息說 unable relay 之類的就好。實做不難,就只是沒有做出來而已。

    就像不是有個選項叫做「封鎖寄件者空白的信件」嗎?

    又像是群組郵件預設都會要求寄件者必須驗證過。

    結合上述兩項,其實我相信要實做真的很簡單,但這非要 Exchange 自己來提供不可,現成的郵件傳輸規則裡面也沒有這方面的可以挑出來使用,可惜了。

    Anyway,既然老師都出來說明是沒辦法的,我也只好死心了。

    2013年1月24日 上午 07:22
  • 沒有這麼複雜到要 send as 權限這種程度,就只是單純的由外面進來的信件而已。您可以參考一些與 SMTP talk 的 telnet 範例,會 helo / rcpt to / mail from / data 這四個命令最後打個 . 就可以把信件寄出了。若沒有開啟 SPAM content filter 等機制的話,這聲稱來自組織內部的信件一定會照單全收且交到組織內的使用者手上。

    啊...竟然這樣..我沒想到會用這種劣質假冒電郵...

    如果用telnet寄件還把諸如email 簽名,文字格式等等都用這用plain text的方式附上...還要做到html效果....這位員工也真的很有心了 (笑)

    你讓我想起用powershell也可以噢...效果還更真實....

    就如你所說, 用telnet寄的郵件很容易就可以用傳輸規則擋下來了, 反而你要小心用powershell的噢


    邊幫助, 邊鍛鍊

    2013年1月24日 上午 08:02
  • 真的要有心的話其實也不用 telnet 自己在那邊慢慢刻信件的呀!

    找個郵件軟體,SMTP 欄位就指著自己公司的 SMTP,寄件人就完整的寫上自己公司的主管,並且寫的和 AD 上的顯示名稱一模一樣,然後寄件人也自己先做好一個看起來與 AD 上顯示名稱一模一樣的公司內部員工,不用勾選「我的伺服器需要身份驗證」,然後就可以開始寫信了,這封信就會是一封看起來很漂亮的且超級正常的信,不用去煩惱自己要刻 RTF or HTML 格式了。收到的人怎麼看都會覺得是自己公司的主管寄給自己的信,不容易被懷疑。

    我會用 telnet 來說這問題是因為只要 telnet 就可以做到,簡單幾行,公司 Exchange 即使有開 SPAM content filter 還是會有機會放行這封信,而要杜絕這種信件的作法之一就是當寄件者為組織內部的 E-Mail 時,這封信件若沒有通過身份驗證就不能寄出。

    2013年1月24日 上午 08:08