公司的業務和主管向你抱怨, Mail 寄出給國外客戶和廠商都收不到(跑倒垃圾信件匣) 甚至被當成垃圾郵件退回來?!
這一篇是寫給公司 IT/MIS 人員參考
1. 維護好公司的 smtp relay 安全
1.1 假設貴公司開放 SMTP ports 讓外部可以透過 smtp 發信 則要做好權限控管,沒有透過認證者 or IP 不再安全清單一律不許使用 SMTP 發信。 (也可考慮 VPN)
1.2 定期檢查使用者是否濫用 SMTP 寄送非公司相關信件
1.3 定期檢查使用者電腦是否中毒、中木馬成為發送廣告信的跳板
1.4 教育使用者足夠的資訊安全概念
1.5 請主要客戶、廠商幫忙,設定從公司來的郵件為「非垃圾郵件」 e.g. Google Gmail 篩選器 (Filter) -> 不要將它傳送到垃圾郵件 http://mail.google.com/support/bin/answer.py?hl=b5&answer=6579
Yahoo奇摩 信箱的 「自動分類」 http://tw.promo.yahoo.com/tutorial/mail20/cg_filter1.html
Microsoft Outlook 的 「安全的收件者」 http://office.microsoft.com/zh-tw/outlook/HP052433571028.aspx
1.6 安裝相關的 Antivirus Mail Gateway or Mail-Server AntiVirus
1.7 定期檢查 Delivery Failures 的信件, 看看是否有定期寄給客戶、廠商的 mail address 已經失效,sent failed 請聯絡他們更換 address,減少 send/deliver failures。
2. 設定 DNS SPF TXT (Sender Policy Framework)記錄
詳細請看官網 http://www.openspf.org/
2.1 如何檢查 SPF TXT 記錄? => 使用 SPF 官網提供的 Tools http://www.openspf.org/Why http://www.kitterman.com/spf/validate.html
=> 或者用 dig 來查詢 Google & Hinet's public DNS 代碼:
2.2 或者寄送一封信到 spf-test@openspf.org 然後一分鐘內,你就會收到一個退信, 裡面有 Result="pass" 表示通過 SPF 測試驗證
如果是 Result="none" 那就表示 SPF 還沒有設定完成
2.3 如果你是使用 Google Apps 應用服務 (Google 代管郵件)
你的 SPF 應該長得是這樣子,都在同一行! 有 "double quote" 然後 all 前面是 ~ 波浪符號 代碼:
2.4 另外記住 TXT 也是 DNS entries 的一部分,DNS 生效需要 24~48 小時。
2.5 舉例,成功的設定 SPF 會讓 Google Mail Gmail 更不會誤判垃圾信件
Example BEFORE-SET-SPF-TXT "NEUTRAL" 未設定之前,判定為「中立」 代碼:
Example AFTER-SET-SPF-TXT "PASS" 設定之後,判定為「認證通過」 代碼:
3. 設定反查
相較於正查: Host Name / Domanin --> IP Address 所謂的反查就是 IP Address --> Host Name / Domain Name
有一些 Mail server 會透過檢查反查來判定 SPAM 的分數。 設定反查在某些狀況可以降低被誤判的機率。
如果公司自己有自己的 DNS server,就自己改 (記得 ns1, ns2, ns3 ... 所有 ns 都要改)
如果是請 IDC/ISP 代管, 大部分的 IDC/ISP (Hinet/Seednet) 都可以請工程師幫忙設定反查,應該也免費; 有 IDC/ISP 的和上述 TXT 一樣,提供 DNS manager 介面提供可設定。
4. 減少強制附加「智財權聲明」簽名檔
有一些公司,在 outbound 的 mail 會強制附上 類似下面這種「智財、版權」聲明稿。
英文叫做 legal statement signature legal declaration signature copyright statement signature ...
而這個動作, 導致「郵件本文」有時候比「聲明簽名檔」還要小... 如果某一些舊機器判定的公式有這一條, 可能會增加被誤判的機率。
建議: 換成適當大小的圖片、減少字數、或者選擇適當的顏色、適當的字體(例如避免,白底白字)。
5. 時常查詢是否貴公司已經在黑名單
SPAM Black List or Block List Query
http://www.spamhaus.org/ http://www.spamhaus.org/lookup.lasso (SBL, XBL PBL) http://www.dnsstuff.com/tools http://www.openrbl.org/
時常檢查,或者寫一個簡單的 script 照三餐檢查。
6. 避免公布貴公司的 Mail,防止 SPOOF
避免 SPAM/Spoof Address Spider
6.1 有 Contact 需求請盡量用 Contact Web-Form or Skype or 電話號碼
6.2 如果真要公布請用 E-Mail 圖片 (e-mail address 用圖片展示)
6.3 盡量減少公布可以 group mail 的 address
7. 考慮使用 DKIM or Domainkey 金鑰簽署郵件
e.g. 使用 Google Apps 提供的 DKIM 功能, 一樣是 DNS TXT FIELD
代碼:
DKIM/DomainKeys 參考網址 http://www.dkim.org/ http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=174124 http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=180504&topic=2752442&ctx=topic
實作如下圖,多了一個「金鑰簽署者欄位」
這一篇是寫給公司 IT/MIS 人員參考
1. 維護好公司的 smtp relay 安全
1.1 假設貴公司開放 SMTP ports 讓外部可以透過 smtp 發信 則要做好權限控管,沒有透過認證者 or IP 不再安全清單一律不許使用 SMTP 發信。 (也可考慮 VPN)
1.2 定期檢查使用者是否濫用 SMTP 寄送非公司相關信件
1.3 定期檢查使用者電腦是否中毒、中木馬成為發送廣告信的跳板
1.4 教育使用者足夠的資訊安全概念
1.5 請主要客戶、廠商幫忙,設定從公司來的郵件為「非垃圾郵件」 e.g. Google Gmail 篩選器 (Filter) -> 不要將它傳送到垃圾郵件 http://mail.google.com/support/bin/answer.py?hl=b5&answer=6579
Yahoo奇摩 信箱的 「自動分類」 http://tw.promo.yahoo.com/tutorial/mail20/cg_filter1.html
Microsoft Outlook 的 「安全的收件者」 http://office.microsoft.com/zh-tw/outlook/HP052433571028.aspx
1.6 安裝相關的 Antivirus Mail Gateway or Mail-Server AntiVirus
1.7 定期檢查 Delivery Failures 的信件, 看看是否有定期寄給客戶、廠商的 mail address 已經失效,sent failed 請聯絡他們更換 address,減少 send/deliver failures。
2. 設定 DNS SPF TXT (Sender Policy Framework)記錄
詳細請看官網 http://www.openspf.org/
2.1 如何檢查 SPF TXT 記錄? => 使用 SPF 官網提供的 Tools http://www.openspf.org/Why http://www.kitterman.com/spf/validate.html
=> 或者用 dig 來查詢 Google & Hinet's public DNS 代碼:
dig @8.8.8.8 -t TXT your-company-org-school.com dig @168.95.1.1 -t TXT your-company-org-school.com 2.2 或者寄送一封信到 spf-test@openspf.org 然後一分鐘內,你就會收到一個退信, 裡面有 Result="pass" 表示通過 SPF 測試驗證
如果是 Result="none" 那就表示 SPF 還沒有設定完成
2.3 如果你是使用 Google Apps 應用服務 (Google 代管郵件)
你的 SPF 應該長得是這樣子,都在同一行! 有 "double quote" 然後 all 前面是 ~ 波浪符號 代碼:
"v=spf1 include:aspmx.googlemail.com ~all" 2.4 另外記住 TXT 也是 DNS entries 的一部分,DNS 生效需要 24~48 小時。
2.5 舉例,成功的設定 SPF 會讓 Google Mail Gmail 更不會誤判垃圾信件
Example BEFORE-SET-SPF-TXT "NEUTRAL" 未設定之前,判定為「中立」 代碼:
Received-SPF: neutral (google.com: 74.125.82.52 is neither permitted nor denied by domain of XXXXXXXX) client-ip=74.125.82.52; Authentication-Results: mx.google.com; spf=neutral (google.com: 74.125.82.52 is neither permitted nor denied by domain of XXXXXXXXX) smtp.mail=XXXXXXXXX Example AFTER-SET-SPF-TXT "PASS" 設定之後,判定為「認證通過」 代碼:
Received-SPF: pass (google.com: domain of XXXXXXXXX designates 74.125.82.52 as permitted sender) client-ip=74.125.82.52; Authentication-Results: mx.google.com; spf=pass (google.com: domain of XXXXXXXXX designates 74.125.82.52 as permitted sender) smtp.mail=XXXXXXXXXXX 3. 設定反查
相較於正查: Host Name / Domanin --> IP Address 所謂的反查就是 IP Address --> Host Name / Domain Name
有一些 Mail server 會透過檢查反查來判定 SPAM 的分數。 設定反查在某些狀況可以降低被誤判的機率。
如果公司自己有自己的 DNS server,就自己改 (記得 ns1, ns2, ns3 ... 所有 ns 都要改)
如果是請 IDC/ISP 代管, 大部分的 IDC/ISP (Hinet/Seednet) 都可以請工程師幫忙設定反查,應該也免費; 有 IDC/ISP 的和上述 TXT 一樣,提供 DNS manager 介面提供可設定。
4. 減少強制附加「智財權聲明」簽名檔
有一些公司,在 outbound 的 mail 會強制附上 類似下面這種「智財、版權」聲明稿。
英文叫做 legal statement signature legal declaration signature copyright statement signature ...
而這個動作, 導致「郵件本文」有時候比「聲明簽名檔」還要小... 如果某一些舊機器判定的公式有這一條, 可能會增加被誤判的機率。
建議: 換成適當大小的圖片、減少字數、或者選擇適當的顏色、適當的字體(例如避免,白底白字)。
| 引言回覆: |
本郵件之資訊可能含有受機密或特殊管制之資訊,僅供指定之收件人使用。若您並非指定之收件人,切勿轉寄、散佈、複製或公開本通訊內容之任何部份,並請即通知寄件人並完全刪除本郵件。 The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. If you are not the intended recipient, please contact the sender immediately and destroy the material in its entirety, whether electronic or hard copy. You are notified that any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. Please consider the environment before printing this email. |
5. 時常查詢是否貴公司已經在黑名單
SPAM Black List or Block List Query
http://www.spamhaus.org/ http://www.spamhaus.org/lookup.lasso (SBL, XBL PBL) http://www.dnsstuff.com/tools http://www.openrbl.org/
時常檢查,或者寫一個簡單的 script 照三餐檢查。
6. 避免公布貴公司的 Mail,防止 SPOOF
避免 SPAM/Spoof Address Spider
6.1 有 Contact 需求請盡量用 Contact Web-Form or Skype or 電話號碼
6.2 如果真要公布請用 E-Mail 圖片 (e-mail address 用圖片展示)
6.3 盡量減少公布可以 group mail 的 address
7. 考慮使用 DKIM or Domainkey 金鑰簽署郵件
e.g. 使用 Google Apps 提供的 DKIM 功能, 一樣是 DNS TXT FIELD
代碼:
google._domainkey v=DKIM1; k=rsa; p=ABCDEFG.....
DKIM/DomainKeys 參考網址 http://www.dkim.org/ http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=174124 http://support.google.com/a/bin/answer.py?hl=zh-Hant&answer=180504&topic=2752442&ctx=topic
實作如下圖,多了一個「金鑰簽署者欄位」
