最近,我們公司收到大量冒充客戶和供應商的顯示名稱欺騙電子郵件。不幸的是,由於我的同事沒有過多關注安全警告等,因此我不能指望他們意識到威脅。我在谷歌上搜尋了幾個小時沒有找到令人滿意的解決方案。至少不是一個簡單的,不涉及付費第三方工具等。
因此,我偶然發現了一個優雅且簡單的解決方案,它將以下內容添加到 header_checks 檔案的行中:
/^From: (.*@.*) (.*@.*)$/ REPLACE From: "PHISHING!!!" $2
/^Reply-To: (.*@.*) (.*@.*)$/ REPLACE Reply-To: "PHISHING!!!" $2
這兩行的作用基本上是檢查 From 標頭中是否存在 2 個電子郵件地址。如果是這樣,我們假設第一個是被欺騙的。然後它只是簡單地重寫 from 標頭,透過 PHISHING 替換欺騙的寄件者並維護真實的寄件者地址。
之後,只需將修改後的 header_checks 檔案對應到 Postfix:
postmap -r header_checks
重新載入配置:
postfix reload
並執行測試 header_check 是否正確套用:
postmap -q "From: Fake Sender <[email protected]> <[email protected]>" regexp:/etc/postfix/header_checks
該命令應該返回類似以下內容:
REPLACE From: "PHISHING!!!" <[email protected]>
如果有積極的打擊。如果為負,則不會有輸出。
我希望這可以幫助遇到相同問題的人。
問候
答案1
我在我們公司的郵件伺服器上遇到了這個問題,因為我們驗證了自己的電子郵件網域,只有登入使用者才能發送,因此,我稍微修改了您的語法
/^From: (.*@.*) <(.*@.*)>$/ REPLACE From: "[POSSIBLE PHISHING] $2" <$2>
/^Reply-To: (.*@.*) <(.*@.*)>$/ REPLACE Reply-To: "[POSSIBLE PHISHING] $2" <$2>
這樣,電子郵件接收者就可以知道寄件者是誰。如果一些懶惰的公司用戶將寄件者名稱設定為其電子郵件名稱,您的程式碼可能會導致誤報。希望有幫助
*另一種是欺騙網域名稱作為顯示名,可以使用下面的程式碼來修正
/^From: (.*)\.(.*) <(.*@.*)>$/ REPLACE From: $3 <$3>
/^Reply-To: (.*)\.(.*) <(.*@.*)>$/ REPLACE Reply-To: $3 <$3>