Ý tưởng tốt? Từ chối email đến với tên miền riêng của chúng tôi kết thúc? (vì chúng phải là giả)


33

Tôi có một câu hỏi về Exchange Server của chúng tôi: Bạn có nghĩ nên từ chối các email bên ngoài có tên miền riêng của chúng tôi ở cuối không?

Giống như email bên ngoài từ fake@example.comđâu?

Bởi vì nếu đó là từ một người gửi thực sự trong công ty của chúng tôi, email sẽ không bao giờ đến từ bên ngoài?

Nếu có, cách tốt nhất để làm điều này là gì?


3
Bạn có bất kỳ loại giải pháp lọc thư rác tại chỗ ngay bây giờ?
ewwhite

14
Bạn nên kiểm tra kỹ xem bạn có nhà cung cấp bất kỳ ứng dụng web nào đang cố gửi từ tên miền của mình không. Giống như nếu bạn có một hệ thống bảng lương có thể gửi e-mail đến nhân viên của bạn từ "payroll@example.com". Đồng thời kiểm tra xem tiếp thị hoặc nhân sự có thể sử dụng dịch vụ thư hàng loạt bên ngoài hay không và họ muốn nhân viên nhận được những thư đó. Thông thường những tin nhắn đó có người gửi hoặc ít nhất là địa chỉ trả lời của ai đó trong tiếp thị hoặc nhân sự. Trong những tình huống đó, thông thường bạn sẽ có thể đặt các máy chủ email của dịch vụ vào danh sách cho phép và vẫn chặn tên miền của riêng bạn đến (đó là những gì chúng tôi làm).
Todd Wilcox

6
@NeilMcGuigan Điều đó có vấn đề gì? Thư vẫn nên bắt nguồn từ một máy chủ thư nội bộ? Nó sẽ không đến từ bên ngoài mạng chỉ vì anh ta không có mặt.
Matt

@Matt gotya, brainfart
Neil McGuigan

1
Ví dụ: nếu bạn có thông báo email tự động đến từ một trong các máy chủ của mình, thông báo công việc cron không thành công hoặc đã cố vi phạm từ IDS hoặc trình giám sát sử dụng tài nguyên và chúng được định cấu hình để địa chỉ Từ của chúng có tên miền của bạn. Bạn sẽ cần phải cẩn thận để định tuyến các email đó thông qua máy chủ thư nội bộ của bạn hoặc đưa danh sách trắng các máy chủ đó dưới dạng người gửi được phép.
Lie Ryan

Câu trả lời:


53

Có, nếu bạn biết rằng email cho tên miền của bạn chỉ nên đến từ máy chủ của riêng bạn, thì bạn nên chặn bất kỳ email nào cho tên miền đó có nguồn gốc từ một máy chủ khác. Ngay cả khi ứng dụng email của người gửi ở trên một máy chủ khác, họ vẫn nên đăng nhập vào máy chủ của bạn (hoặc bất kỳ máy chủ email nào bạn sử dụng) để gửi email.

Tiến thêm một bước nữa, bạn có thể định cấu hình máy chủ của mình để kiểm tra các bản ghi SPF. Đây là cách nhiều máy chủ ngăn chặn loại hoạt động email đó. Bản ghi SPF là bản ghi DNS, bản ghi TXT, cung cấp các quy tắc về máy chủ nào được phép gửi email cho miền của bạn. Cách bật kiểm tra bản ghi SPF sẽ phụ thuộc vào dịch vụ email của bạn và sẽ vượt ra ngoài phạm vi của những gì cần đề cập ở đây. May mắn thay, hầu hết các môi trường và phần mềm lưu trữ sẽ có tài liệu để làm việc với các bản ghi SPF. Bạn có thể muốn tìm hiểu thêm về SPF nói chung. Đây là bài viết Wikipedia: https://en.wikipedia.org/wiki/Sender_Policy_Framework


3
@Kurtovic, một máy chủ email được cấu hình tốt sẽ trả lại email mà nó từ chối, vì vậy người gửi sẽ được thông báo.
Calimo

8
@Calimo Không phải khi nó từ chối email vì là thư rác. Làm như vậy sẽ chỉ cho phép người gửi thư rác tiếp tục thử cho đến khi anh ta biết được thuật toán của bạn cho phép và không cho phép.
Jon Bentley

27
@Calimo - không. chấp nhận và trả lại là điều tồi tệ nhất có thể làm, bạn đang góp phần phân tán thư rác và SILL bị đưa vào danh sách đen rất nhanh. chỉ cần từ chối thư không mong muốn - xử lý vấn đề đó là vấn đề của máy chủ gửi . Nếu bạn không thể làm điều đó thì hãy chấp nhận, kiểm tra và loại bỏ nếu spam hoặc phần mềm độc hại. không bao giờ chấp nhận và trả lại
cas

2
@cas: Có một lựa chọn thay thế thứ ba: từ chối tại thời điểm chấp nhận SMTP. Điều này để lại gánh nặng tạo ra phản hồi lỗi trên máy chủ gửi SMTP, nếu nó muốn làm như vậy, và do đó cho phép nhiều người gửi hợp pháp xem liệu thư của họ có bị từ chối hay không trong khi đảm bảo rằng bạn sẽ không bao giờ tự tạo spam.
R ..

2
@R .. tôi nghĩ bạn sẽ thấy đó không phải là lựa chọn thay thế thứ ba, đó là một cách diễn đạt của những gì tôi đã nói "chỉ từ chối thư không mong muốn - xử lý đó là vấn đề của máy chủ gửi."
cas

31

Có một tiêu chuẩn để làm điều này đã. Nó được gọi là DMARC . Bạn thực hiện nó với ký DKIM (dù sao đó cũng là một ý tưởng tốt để thực hiện).

Tổng quan ở cấp độ cao là bạn ký mỗi email rời khỏi tên miền của bạn bằng tiêu đề DKIM (dù sao đó cũng là một cách làm tốt). Sau đó, bạn định cấu hình DMARC để từ chối mọi email truy cập máy chủ thư của bạn, từ tên miền bạn sở hữu, không được ký với tiêu đề DKIM hợp lệ.

Điều này có nghĩa là bạn vẫn có thể có các dịch vụ bên ngoài gửi email đến tên miền của bạn (như phần mềm trợ giúp được lưu trữ, v.v.), nhưng có thể chặn các nỗ lực lừa đảo giáo.

Một điều tuyệt vời khác về DMARC là bạn nhận được các báo cáo lỗi được gửi, do đó bạn có thể quản lý xử lý ngoại lệ theo yêu cầu.

Mặt trái là bạn cần chắc chắn rằng bạn đã sắp xếp mọi thứ kỹ lưỡng trước đó hoặc bạn có thể bắt đầu bỏ các email hợp pháp.


3
Rất khuyến khích thực hiện SPF cũng như DKIM trước khi thử DMARC.
Todd Wilcox

Làm thế nào DMARC có thể làm việc với các email đến từ một máy chủ khác với máy chủ của bạn, chẳng hạn như với các dịch vụ bên ngoài, vì các dịch vụ đó sẽ không được ký bởi máy chủ của bạn?
jpaugh

1
@jpaugh bạn thêm khóa công khai của máy chủ khác vào bản ghi DMARC trong DNS của bạn. Họ sẽ có thể cung cấp cho bạn hồ sơ để thêm.
Mark Henderson

Tôi đã trả lời câu trả lời này vì nó đúng về mặt kỹ thuật - đó chính xác là DMARC dùng để làm gì và nó làm gì - nhưng DMARC là một ý tưởng rất tồi nếu bạn muốn tương tác với những thứ như danh sách gửi thư, vì nó vi phạm RFC và nói chung là hành vi sai trái.
MadHatter hỗ trợ Monica

11

Một khối như vậy có khả năng làm giảm thư rác và có thể làm cho kỹ thuật xã hội trở nên khó khăn hơn nhưng nó cũng có thể chặn thư hợp pháp. Ví dụ bao gồm dịch vụ chuyển tiếp thư, danh sách gửi thư, người dùng có ứng dụng thư được định cấu hình sai, ứng dụng web gửi thư trực tiếp từ webhost mà không liên quan đến máy chủ chính của bạn và v.v.

Dkim có thể giảm thiểu điều này đến một mức độ nào đó bằng cách cung cấp một cách để xác định thư được gửi từ mạng của bạn, được lặp qua danh sách gửi thư hoặc chuyển tiếp và sau đó được nhận tại thư của bạn nhưng đó không phải là cách chữa hoàn hảo, một số danh sách gửi thư sẽ phá vỡ chữ ký của dkim và bạn vẫn có vấn đề theo dõi tất cả các điểm khởi tạo thư hợp pháp và đảm bảo rằng họ đi qua người ký dkim.

Bước đi cẩn thận, đặc biệt nếu thực hiện điều này trên một tên miền hiện có.


3

Có thể, nhưng có một số trường hợp bạn cần xem xét trước khi bạn thực hiện một thay đổi như vậy.

1) Có ai trong công ty của bạn sử dụng bất kỳ loại dịch vụ bên ngoài nào không (ví dụ Survey Monkey, Constant Contact, v.v.) để gửi email có vẻ là "từ" tên miền của bạn? Ngay cả khi họ không làm điều đó hôm nay, họ có thể làm điều đó trong tương lai không?

2) Có địa chỉ bên ngoài nào chuyển tiếp đến người dùng của bạn không? Ví dụ: giả sử tài khoản gmail "mycompany.sales @ gmail" chuyển tiếp đến "sales@mycompany.com" và người dùng của bạn "bob@mycompany.com" gửi đến "mycompany.sales @ gmail". Trong trường hợp đó, tin nhắn sẽ đến từ "bên ngoài", nhưng với địa chỉ "@ mycompany.com" từ :.

3) Có bất kỳ người dùng nào của bạn đăng ký vào danh sách phân phối bên ngoài giữ địa chỉ "Từ:" ban đầu trên các tin nhắn vào danh sách không? Ví dụ: nếu Bob đăng ký "foo-list@lists.apple.com" và gửi tin nhắn, anh ta sẽ nhận được một tin nhắn gửi đến trông giống như: Từ: bob@mycompany.com Tới: foo-list@lists.apple. com Người gửi:

Nếu máy chủ của bạn ngây thơ nhìn vào tiêu đề "Từ:" (thay vì "Người gửi:"), nó có thể từ chối thông báo này vì bạn đang nhận được từ bên ngoài.

Bởi vì tất cả những điều trên, có chính sách "... từ một người gửi thực sự trong công ty chúng tôi, email sẽ không bao giờ đến từ bên ngoài" không phải lúc nào cũng khả thi.


2

Bạn có thể thực hiện việc này trong PowerShell bằng cách cập nhật quyền Nhận Trình kết nối để loại trừ người dùng ẩn danh gửi dưới dạng người gửi tên miền có thẩm quyền:

Get-ReceiveConnector <identity> | Remove-AdPermission -User "NT AUTHORITY\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-DomainSender

Tuy nhiên, vấn đề phát sinh khi bạn có các máy chủ ứng dụng từ xa cần gửi email trạng thái cho bạn, vì chúng thường sử dụng tên miền của bạn trong địa chỉ Từ của họ. Có thể tạo Trình kết nối nhận bổ sung cho các địa chỉ IP cụ thể của họ để bạn không vô tình loại trừ chúng.


1

GMail có cài đặt cho phép bạn gửi email với tên miền không phải là Gmail được cung cấp địa chỉ email được xác minh đầu tiên. Quyết định của bạn sẽ chặn những email đó.

Việc bạn có người dùng có thể sử dụng tính năng GMail này hay không và việc sử dụng chúng có hợp lý hay không phụ thuộc rất nhiều vào hành vi trong công ty của bạn.


-1

SPF sẽ không chữa được điều này vì phong bì có thể có một đường chuyền SPF thích hợp (tức là những kẻ gửi thư rác sử dụng máy chủ bị xâm nhập) trong khi họ sẽ giả mạo email bên trong phong bì. Những gì bạn cần là một khối trên thông điệp email tên miền của riêng bạn có một máy chủ email có nguồn gốc trên phong bì không được bạn chấp nhận.


"Những gì bạn cần là một khối trên thông điệp email tên miền của riêng bạn có máy chủ email gốc trên phong bì không được bạn chấp nhận" - đó chính xác là những gì bạn làm với SPF, tạo danh sách các máy chủ email có nguồn gốc hợp pháp cho tên miền của bạn.
GAThrawn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.