之前文章有提及,RBL的判定機制是郵件信箱大量發信所致,至於原因請參考之前文章
http://www.slink.com.tw/slink/user_func.php?op=load&modules=news&file=upqa&act=show&id=000219
第一時間的防禦,請參考
http://www.slink.com.tw/slink/user_func.php?op=load&modules=news&file=upqa&act=show&id=000220
第一時間自動防禦時,會寄送警示郵件來通知管理人員,本篇文章便是要說明,當收到通知信件後,要如何進行處理
之前文章提及,目前郵件的侵入大概分為下列幾種
1.透過POP3進行服務攻擊
2.透過字典破壞,取得使用者帳密後進行攻擊(需有開啟SMTP認證)
3.內部使用者中毒,進行內部大量寄信(需內部進行個別電腦檢查,最好可以透過中控板防毒軟體,如SOPHOS END POINT來協助)
4.未知的新攻擊手法
目前可以透過ORION相當輕易的對1、2點進行處理(4點也類似處理方式),那如透過ORION
來進行此防禦呢?請參考下列步驟
1.請確認 安全設定/規則設定 有開啟25埠及110埠的外部介面監控,並且為服務中狀態。
2.進入 記錄檔檢視/防火牆檢視/正常封包記錄,點選重新整理,會顯示目前連線到25埠及110埠的IP及連線次數,
觀看次數較高的連線IP位置,並點選封鎖直接封鎖IP。
3.如果連線次數高的為POP3(110),請於封鎖後,伺服器設定/郵件設定/伺服器狀態 中, 重新啟動IMAP服務。
4.如果連線次數高的為POP3(25),如果ORION有啟用郵件認證服務,請於封鎖後,到 系統監測/進階偵測設定/認證登入記錄,查詢
目前認證登入寄信的帳號中,是否有異常登入次數的帳號,如果有,有可能該帳號已被字典破壞,取得使用者帳密了,請直接
變更密碼,避免再度被透過該使用者帳密進行攻擊。
5.進入 記錄檔檢視/郵件系統紀錄檔/郵件序列記錄 中,清空目前的序列信件。
如此,應該就可以處理1、2點的攻擊(4點也類似處理方式),讓郵件服務繼續正常的運作。