【網管日常補充】防線建立後的維護 SOP:郵件日誌追蹤與名單收斂
📚 延伸閱讀:相關技術系列 👉 Graylog Log 分析系統安裝 👉 HPE IMC 7.3 安裝教學 (Linux) 👉 Cacti 監控安裝 (CentOS 8) 【網管日常補充】防線建立後的維護 SOP:郵件日誌追蹤與名單收斂 設定好四道自動化 SMTP 稽核條例,其實只完成了防護的第一步。由於後端業務系統(AP System)的使用者每天仍可能輸入各種千奇百怪的錯誤地址,身為系統管理員,我們後續的日常維護 SOP 便是透過 「日誌追蹤與收斂」 ,持續補強防禦網。 以下分享近期在實務日誌(Mail Logs)中抓到的「漏網之魚」,以及對應的收斂策略: 1. 揪出使用者的「變種」拼字錯誤 (收斂至 4.4.3 規則) 即使我們已經攔截了最常見的 gmial.com,使用者還是會創造出新的錯誤。例如在近期的日誌追蹤中,我們又發現了: *@gmaol.com (Gmail 鍵盤誤打,o 在 i 旁邊) *@ms63.hiinet.net (Hinet 網域不小心多打了一個 i) 🛠️ 網管處置: 一旦在日誌中發現這類因手誤導致 DNS 根本無法解析(Host not found)的新網域,應立即將其補入 【規則一:直接刪除】 的清單中。 2. 隱藏的代管信箱容量爆滿 (收斂至 4.2.2 規則) 有時候日誌會出現看似正常的企業網域(例如 shirley1591@litung.****.tw),但錯誤代碼卻回報 The recipient's inbox is out of storage space。進一步查看 Log 會發現,對方底層其實是使用 Google Workspace 等代管服務,且信箱已經被塞滿。 🛠️ 網管處置: 只要是由 AP 系統高頻率觸發的 Over Quota 帳號,無論是個人信箱還是企業信箱,都應將該完整 Email 加入 【規則三:直接刪除】 ,避免 MT...