作者 主題: 求解.另類的偽造內部寄件者發信,給搞慘了.  (閱讀 636 次)

0 會員 與 1 訪客 正在閱讀本文。

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
最近被以下這一類型的信件(廣告,病毒 都有) 給搞慘了
mail header 如下.
代碼: [選擇]
X-Virus-Scanned: amavisd-new at 我的郵件網域名稱.ltd
Authentication-Results: 我的郵件網域名稱.ltd (amavisd-new); dkim=pass (2048-bit key)
header.d=f.xxx.com
Received: from 我的郵件網域名稱.ltd ([127.0.0.1])
by localhost (我的郵件網域名稱.ltd [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id QKqrNPDJwAkv for <bruce@我的郵件網域名稱.ltd>;
Tue, 20 Nov 2018 18:33:48 +0800 (CST)
X-Original-Helo: srv.xxx.xxx
Received: from srv.xxx.xxx (unknown [49.50.x.x])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by 我的郵件網域名稱.ltd with ESMTPS id 190701A0ED4
for <bruce@我的郵件網域名稱.ltd>; Tue, 20 Nov 2018 10:33:45 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=f.xxx.com
; s=default; h=Content-Type:MIME-Version:Subject:Message-ID:To:From:Date:
Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:Content-Description:
Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc:Resent-Message-ID:
In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:List-Subscribe:
List-Post:List-Owner:List-Archive;
bh=oeKpNXzelCcu0Pa2JZ/kEccBY9jBf7XUbeiA+zDBB0Y=; b=ZPlhjtkzYLHgdoqK7HlWnbgDHA
GeQrNUQTlDBhLF1T+LxZRf5Np9zkr6tXGrhikSmT0qaCQcYFtGOu6dLdwmYF6eqNMqXRHBug24vKu
kht7/9BF9XWeaVcy51TFG9DuMjQLP3D+nBv57Gin2PCv7C4MpYf9Mgp8SFvJuA9++s1mcPx9WonWC
b9JxOQnDgokuP1qM9GGvclyUiJzYNZwY7fdfNfYF8Oic1+J+DNYOIgnHQgLWeSWvdXQ+RZZFEgk5g
l5YeJq79kyW/5YmqMJUTlupc6ZDqVocFWvHxMb7JjegGkRW45bbqYPRERYfLzL+sJrK9qi61EX18v
L237kRFw==;
Received: from 59-124-x-x.hinet-ip.hinet.net ([59.124.x.x]:22194 helo=10.8.9.10)
by srv.xxx.xxx with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.91)
(envelope-from <nafees.ahmad@f.xxx.com>)
id 1gP3LI-000RCM-RQ
for bruce@我的郵件網域名稱.ltd; Tue, 20 Nov 2018 16:03:17 +0530
Date: Tue, 20 Nov 2018 02:33:21 -0800
From: Boss <boss@我的郵件網域名稱.ltd> <nafees.ahmad@f.xxx.com>
To: bruce@我的郵件網域名稱.ltd
Message-ID: <10343280482126316992.119B469581C5721A@我的郵件網域名稱.ltd>

亮點在 From , 系統會抓到實際發信者 nafees.ahmad@f.xxx.com , 所以不會被判斷成是本機的寄件者 (boss@我的郵件網域名稱)發信,
但收件者端的收件者,收信軟體(Outlook)上卻是顯示 Boss <boss@我的郵件網域名稱> . 讓收件者以為是自己內部的人寄來的信..

另類的偽造內部寄件者發信,請問這有辦法阻擋或是過濾嗎?

目前系統為:
postfix + amavisd + spamassassin

以上,感謝!
« 上次編輯: 2018-11-22 10:11 由 bruce_wu »

asako

  • 活潑的大學生
  • ***
  • 文章數: 238
    • 檢視個人資料
email relay 問題?

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
email relay 問題?

非也.

這封信件,是走正常流程,從別台 smtp 主機發到我的主機
postfix 這邊抓的 header info From 是 nafees.ahmad@f.xxx.com ,非我們本機用戶 boss@我的郵件網域名稱.ltd
我這邊 Postfix with SASL 才能使用本機用戶發信,所以沒有 open relay 問題.
而是收件端的使用者,收信軟體 在呈現寄件者時會只顯示 Boss <boss@我的郵件網域名稱.ltd> (對 From 而言被當成名稱顯示) 後面的 寄件者信箱 nafees.ahmad@f.xxx.com 被影藏起來了,所以使用者會認為是內部發送的,就失去戒心..後面的事可大可小了..

asako

  • 活潑的大學生
  • ***
  • 文章數: 238
    • 檢視個人資料
來至特定網域的 discard  掉。

bruce_wu

  • 憂鬱的高中生
  • ***
  • 文章數: 91
    • 檢視個人資料
來至特定網域的 discard  掉。

擋特定網域是可以,但這無法一勞永逸,因為如果多數主機被攻陷,只能被動擋..

我的想法是 postfix 端就能夠檔.. 其次是 在 spamassassin 給高分過濾
postfix 可能需要自己寫 check_policy_service 去處理.

asako

  • 活潑的大學生
  • ***
  • 文章數: 238
    • 檢視個人資料
我剛 google 一下 。
這種方式也許可解
https://ubuntuforums.org/showthread.php?t=787704