2015 年
2015-03-23
別慌張!談郵件外寄主機被加入網路黑名單(RBL)的處理與預防實務
技術服務處 資深經理 張世鋒
網路上即時阻擋清單(Real time Block List,RBL)的來源,除了具公信力的第三組織外,也有國際防毒大廠建立的垃圾信網路信用評價(Network Reputation Services)或者電信公司 ISP 業者自行蒐集的黑名單為主。本文針對 RBL 問題,提供常見的處理方式與預防機制的說明。外寄主機加入黑名單較常見的原因有以下:
1.外寄大量廣告信
未在收件方郵件主機合法名單,或發信行為遭其他郵件主機或郵件使用者檢舉為垃圾信發信主機。
2.郵件帳號遭盜用
因使用者帳號密碼遭盜用,對其他郵件主機進行大量發信,發信行為被判斷為異常發信行為(ex. DoS/DDoS 攻擊)遭檢舉至 RBL 單位。
3.產生退信攻擊行為
因該寄件人為垃圾信主機偽造發送,郵件主機收信後,因「帳號不存在」或該「帳號空間不足」產生退信,因大量對外發送退信造成主機被判斷為退信攻擊主機。
4.網路架構問題造成
因公司對外公開 Public IP 僅有 1 組,內部多套系統共用下,如其中 1 套系統產生中毒或遭惡意程式攻擊,造成該 IP 被檢舉為黑名單。
當發生黑名單問題時,先進行系統檢查
如發生問題時,請先檢查可能的發生原因。例如,當收到退信通知,發現外寄信件有被阻擋時,如為郵件主機遭檢舉,可以從收發信紀錄查詢時間區段內有無異常的大量外寄信件或退信,針對問題帳號先進行停權;如為其他外寄閘道設備,可以從該閘道設備提供的紀錄檢閱中,檢查時間區段內有無異常的大量外寄信件或退信,針對異常發送或遭盜用帳號,切回後端郵件系統進行停權,避免持續發送與接收大量退信。提醒,申請解除阻檔前,務必確認是否已解決帳號被盜發、或寄發大量 EDM 信件出去等問題,以避免申請解除之後,又再被加入黑(灰)名單中。接下來可依照公司現有環境選擇適合的處理機制,包含:
- 置換外寄或郵件主機IP
IP 取代原外寄主機 IP 先恢復正常寄信。待 RBL 封鎖解除後,可置換回原 IP 或轉成備用。(注意:此方式需預先完成相關 DNS 設定。)
- 置換外寄主機
如現有環境有其他外寄閘道設備,亦可設定將外寄信件遞送閘道設備對外送信,待 RBL 解除後,再將設定改為由郵件主機直接送信。
- 申請解除封鎖
從退信訊息分析 RBL 單位,登入該 RBL網站,線上申請解除封鎖各個 RBL 單位解除方式不同,可參考各 RBL 網站說明。
- 設定 IP 白名單
如有緊急信件需遞送,可請收件方主機將我方外寄主機 IP 加入白名單。
平時做好預防措施,降低發生機率
依公司資源多預留備用IP,是提供緊急置換是最基本的預防機制,但使用此方法需預先完成相關 DNS 設定。其次檢查網路架構,避免對外僅使用一組 Public IP 的風險。針對跟公司往返密切的單位,可以事前約定加入彼此的白名單,減少因彼此主機被列為 RBL,導致無法正常互寄信件。
關於查閱是否被加入 RBL 黑名單,網路上也有組織專門在提供定時監看 RBL 網站的服務,可以參考使用。如下資料所示
網路監看 RBL 單位:http://www.anti-abuse.org
.jpg)
最後可依照郵件系統主機或外寄主機的功能,定時監看有無可疑的發信行為,例如時間區段內「同一寄件人、同一信件來源、同一信件標題」等發信數量超過系統定義的風險標準,發現後立即檢查可疑帳號或行為進行處理。
.jpg)
讀信安全的部份,建議可以例如讀信時可設定去除信件內 JavaScript 語法或強制將信件轉換為純文字格式,提高人員讀信安全及避免誤點惡意連結造成帳密外洩。或者可調整密碼安全政策設定、設定 WebMail 登入提供虛擬螢幕鍵盤或圖形驗證碼、定期進行密碼變更與弱密碼分析。
.jpg)
最後在帳號管理的部份,建議可以定時透過工具檢查使用者帳密強度是否安全,或者定期檢查現有郵件帳號是否有久未使用的帳號,進行帳號處理或暫停發信功能,其次定期進行電腦掃毒,降低因中毒造成不合法行為。