iT邦幫忙－公司被垃圾蟲冒名造成大量退信，怎麼辦？

公司被冒名寄發垃圾郵件，而造成大量退回的情況，有辦法防止嗎？
到iT邦幫忙

jhwang（IT邦初學者6級）發問：
有垃圾信發送業者變造寄件人的欄位，冒用我們公司的某個帳號，並大量散布垃圾郵件出去。由於收件人可能是用字典檔產生的，所以會有很多收件人實際上不存在，造成退信的情況。

這時遭到冒用的使用者，就會收到大量退信，造成使用者的困擾。曾經詢問我們的郵件過濾設備廠商，他們說坊間沒有可以有效防止這種情況的過濾設備，想請問一下真的是這樣嗎？有沒有什麼作法可以解決？

fishk（IT邦初學者2級 ）認為：幫使用者換電子郵件帳號可以暫時解決。如果嫌更換電子郵件帳號太麻煩，可以考慮加入郵件過濾條件：在寄給該使用者的信件中，只要是「User Unknown」的信件就全部濾掉，這樣子就可以避掉由字典發信檔產生的退信。

不過這個方法的缺點是，如果是使用者自己寄出的信件所造成的「User Unknown」信件，他本身也收不到通知。兩害相權取其輕，也許可暫時先用上述方法過濾一、二個月後，問題如有改善，即可取消這個規則。

john651216（IT邦初學者1級）認為：目前可能很難從設備去解決。

根本的解決辦法，是去查看那封信寄出的原始IP，並且向ISP檢舉它，這樣的效果可能會更好。萬一查出來的IP是公司的，就要檢查一下郵件主機有沒有設定不當的問題。

yuarchie（IT邦初學者8級）認為：我也遇過這樣的情況，還沒找到解法，只能在垃圾郵件的過濾加重這類退信，同時也跟這類設備的廠商反應，看能不能找出新的防護模式。

另外，也要向使用者宣導，收到這類退信不用太擔心，以免使用者一知半解，以為發生中毒之類的問題，造成人心惶惶。

yuanleex（IT邦初學者1級）認為：IronPort有這功能，它會在每封信寄出時加一個標籤，收到退信時，若無此標籤，即判斷為退信攻擊，會將它阻擋下來。


如何讓外來訪客能使用網路，但又能維護公司資訊安全？
到iT邦幫忙

maciar（IT邦初學者9級）發問：
供應商、合作夥伴來訪時，常有上網的需要，要如何管理才能在提供訪客方便和資訊安全之間取得平衡？

fillano（IT邦初學者6級）認為：首先禁止客戶在辦公區域上網，另外可在特定區域（例如公司會議室）提供獨立的線路上網，與內部網路完全隔離。這種方式既簡單，又可以確保不會有資安的風險。

fishk（IT邦初學者2級）認為：除了建立獨立的線路上網，與內部網路完全隔離外；也要依公司資訊安全管理規定，請供應商、合作夥伴配合，要求他們不得執行任何違反網路安全的行為，並請其簽名確認。這個手續至少可以確保發生問題時，責任的歸屬。

rickhsu（IT邦初學者8級）認為：可以提供獨立的一條ADSL網路給訪客，或是切一段VLAN，這段VLAN只能存取網際網路，不能存取其他網段。也可以利用3.5G無線網路讓他們共用，同樣能做到和公司網路分離。

romanda（IT邦初學者9級）認為：切VLAN雖然是不錯的作法，不過像我們公司有很多案子委外，廠商來訪，一定要接內部的伺服器，這種方式就不是很適合。為了避免資安的威脅，目前正計畫導入NAC。

jamesjan（IT邦初學者8級）認為：我們公司對外網路採用內容管理的設備控管網路的使用，可記錄外來訪客的上網行為。此外，外部電腦接上網路前須經病毒偵測。內網則以AD及IP存取限制的方式來控管。


為什麼Exchange Server的SMTP會閒置，造成信件延遲寄出？
到iT邦幫忙

superfkmis（IT邦初學者9級）發問：
公司的Exchange Server會發生SMTP閒置的現象，造成信件延遲寄出，不知道有沒有人遇過類似情形？

jerry640（IT邦初學者1級）認為：這些問題有幾個方向可以追查：

1.因為網路頻寬不足或防火牆設定有誤，所以造成郵件寄不出去也收不下來。

2.由於Exchange Server被當成跳板或受到攻擊，造成許多廣告郵件卡在上面。如果是這種情況，可以從限制它只能轉寄本網域的郵件來改善。

3.可能DNS設定有問題造成郵件無法順利收送，可以查詢DNS設定是否有問題。

vincent118（IT邦初學者6級）認為：Exchange Server 2003/2000的SMTP，對外預設的連線數（connection）是1000，而這個設定必須要有E1（2048K）頻寬才會正常運作，如果頻寬不夠，郵件會整個寄不出去，而不是慢慢寄。

頻寬如果不足，可以降低連線數設定，以E1的頻寬來說，可以設定到1000，但是512K可能只可以設定到100，實際可行的連線數要試試看。

2wilson（IT邦初學者9級）認為：Exchange Server前端是否有防垃圾郵件設備，有的話檢查Exchange到該設備有無問題；如果沒有，傳送郵件程序對應要寄出的MX，是全部佇列或部分佇列。全部佇列的話，建議從DNS和頻寬開始查。部分佇列可以用nslookup、telnet 它的25埠，測試是否對方會棄置（drop）信件。

此外，也可以追查看看不是有被列在RBL（Real-time Blocking List）的列表中，造成信件發送有問題。而整體線路問題也要注意，可請ISP查一下各節點是否有異常。