none
關於偽裝成自己公司Domain Name的垃圾信!!!!! RRS feed

  • 問題

  • 請教各位

    最近這幾天都一直收到偽裝成我公司網域名稱的垃圾信

    舉例來說...假如我公司的網域名稱是:aaa.com.tw,最近這幾天都一直收到xxx@aaa.com.tw、vvv@aaa.com.tw等等這類的來源垃圾信,問題是我公司的信箱帳號裡面並沒有xxx和vvv這兩個信箱帳號

    而我利用在Exchange 2007上的"郵件追蹤功能"來追蹤那些垃圾信,我發現來源是國外的IP,然後應該是使用Outlook這類的信件軟體從外部透過我的Exchange 2007來送信給我公司的其他同仁(但不是每一個同仁都有,因為我看信件的收件者,裡面很多人員雖然郵件位置都是我公司的網域名稱,但是很多都根本沒這個帳號,所以他應該是在亂槍打鳥),我印象中公司是沒有開啟Relay的功能,請問我該如何解決呢???

    另外我還有一個疑問,我知道在Outlook上面的使用者資訊的名稱跟電子郵件是可以偽造的,但是如果要透過我公司的Exchange 2007來寄信,那麼 登入資訊的使用者名稱跟密碼勢必是要填寫公司有效的真實帳號跟密碼,這樣才能順利發信;而那個冒用來源竟然可以透過公司的Exchange 2007來寄信,是不是意味著有公司同仁的帳號、密碼被盜用了呢???.....如果是,我該如何去查詢是哪個同人的帳號被盜用??

    (我的主機是Server 2008,我有進事件檢視器的安全性去查看登出登入的紀錄,但是都沒有相關紀錄)

    2011年4月8日 上午 06:19

解答

  • Dear Sir:

    要澄清一下你的觀念,現在Ex2007 之後,沒有分FE or BE 了。

    都是以你安裝的伺服器角色來看,這台伺服器提供什麼服務。

     

    由你所述如果由你說的Front這台是Internet  信件的入口的話,那你將匿名存取取消,信件就進不來了。

    所以我才會回覆你,要使用 Edge Server or 3rd Party 的anti-spam 。


    Lusheng
    • 已提議為解答 Johnny_Yao 2011年4月11日 上午 07:18
    • 已標示為解答 AChange 2011年4月14日 上午 02:45
    2011年4月11日 上午 06:34
    版主
  • 這單純是 "您目前防垃圾郵件機制" 篩選不到的問題,一段時間都可能會有一種新的垃圾郵件突破目前您所使用的anti-spam 篩選機制,除非等你的anti-spam 更新定義檔,不然就只能收一陣子了。

    跟Exchange 設定或帳號盜用無關

    就經驗,這類垃圾郵件大都屬於 "content leve filteringl"的層級,ip or smtp filtering 可能都攔不到,目前的機制篩選不到,就只有加其他效果好及更新快的 anti-spam gateway 或survey 其他3-rd party 的產品,效果可能會有意想不到的差別。


    Johnny_Yao
    • 已提議為解答 AChange 2011年4月11日 上午 07:41
    • 已標示為解答 AChange 2011年4月14日 上午 02:45
    2011年4月11日 上午 07:23

所有回覆

  • 你的 接收連接器是開啟 匿名存取,然後直接在防火牆開啟 25 port 對應到internet 嗎?
    Lusheng
    2011年4月8日 上午 07:54
    版主
  • 您好

    請問您指的"匿名存取"是指在接收連接器的"群組權限"裡面的設定嗎??而妳所指的是否有開啟匿名存取,是要看哪個選項呢???

    目前我的接收連接器是有設成兩個...Default Mail 和 Client Mail

    至於我的架構是Exchange有三台,一台是Front,另外是End1跟End2,

    收信方式是經由Front接收,然後再根據收件者來轉送到End1或End2

    但是寄信方式比較特別,因為End2是分公司,所以他們是不經由總公司的Front那台寄送出去,而是由自己本身End2來發送信件

    2011年4月8日 上午 08:03
  • 我過去在公司遇到這個狀況時,
    都是確認過跟這些 IP 的國家不會有來往之後,
    直接封鎖這些網段的 IP 存取。

    至於你說的寄件者名稱偽裝的狀況,
    是因為有些垃圾郵件業者有特殊工具,
    會在發信時特別將寄件者改成跟被收到方的網域一樣。

    至於是否會有人盜取公司內部帳號做發垃圾信動作,
    我覺得被盜的當事人應該自己就會先發現怎麼收到大量退信,
    或者你就要檢查LOG是否有人在某個時間大量存取。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    2011年4月8日 上午 08:52
    版主
  • Dear AskaSu

    所以目前我能有哪些防範方式或機制呢???

    2011年4月8日 上午 09:05
  • 我之前都是在防火牆上直接封鎖該IP網段對郵件伺服器的存取。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已提議為解答 AChange 2011年4月11日 上午 01:22
    2011年4月8日 上午 10:33
    版主
  • Default 的接收連接器,在權限群組 如果有勾選 匿名存取使用者,就會有這樣的問題。

    所以微軟預設是關閉的。

    你可以參考 AskaSu 的方式,或是使用 Edge Server or 3rd Party 的Spam gageway 。 

     


    Lusheng
    • 已提議為解答 AChange 2011年4月11日 上午 01:22
    2011年4月8日 上午 11:40
    版主
  • Dear Lusheng

    您好

    如同之前向您提到的,我現在的架構是Exchange有三台,一台是Front,另外是End1跟End2,

    收信方式是經由Front接收,然後再根據收件者來轉送到End1或End2

    但是寄信方式比較特別,因為End2是分公司,所以他們是不經由總公司的Front那台寄送出去,而是由自己本身End2來發送信件

    如果我把Default的接收連接器裡面,在權限群組中把 匿名存取使用者的勾選取消,是否會影響到外部寄信進來或是公司人員收不到信呢???

    2011年4月11日 上午 05:32
  • Dear Sir:

    要澄清一下你的觀念,現在Ex2007 之後,沒有分FE or BE 了。

    都是以你安裝的伺服器角色來看,這台伺服器提供什麼服務。

     

    由你所述如果由你說的Front這台是Internet  信件的入口的話,那你將匿名存取取消,信件就進不來了。

    所以我才會回覆你,要使用 Edge Server or 3rd Party 的anti-spam 。


    Lusheng
    • 已提議為解答 Johnny_Yao 2011年4月11日 上午 07:18
    • 已標示為解答 AChange 2011年4月14日 上午 02:45
    2011年4月11日 上午 06:34
    版主
  • 這單純是 "您目前防垃圾郵件機制" 篩選不到的問題,一段時間都可能會有一種新的垃圾郵件突破目前您所使用的anti-spam 篩選機制,除非等你的anti-spam 更新定義檔,不然就只能收一陣子了。

    跟Exchange 設定或帳號盜用無關

    就經驗,這類垃圾郵件大都屬於 "content leve filteringl"的層級,ip or smtp filtering 可能都攔不到,目前的機制篩選不到,就只有加其他效果好及更新快的 anti-spam gateway 或survey 其他3-rd party 的產品,效果可能會有意想不到的差別。


    Johnny_Yao
    • 已提議為解答 AChange 2011年4月11日 上午 07:41
    • 已標示為解答 AChange 2011年4月14日 上午 02:45
    2011年4月11日 上午 07:23