sungshu手札筆記本

📚 延伸閱讀：相關技術系列 👉 Graylog Log 分析系統安裝與實戰教學 👉 CheckPoint R82 CPUSE 除錯筆記 👉 Windows DNS CVE 漏洞修復攻略 【網管實戰】進階郵件防禦：從 Log 揪出詐騙網域與處理 554 反解退信 🛡️ 網管維運快報： 近期巡檢發現大量詐騙網域透過內部 AP 系統漏洞嘗試發信。身為網管同仁，務必落實日誌監控，若發現 4.4.3 錯誤積壓過多，請立即同步至核心防火牆的攔截名單中，避免主機 IP 名聲受損。 一、 前言：清空佇列後的日常巡檢 在上一篇實戰中，我們成功化解了 Mail Gateway 萬筆佇列積壓的危機。然而，維運工作並非止於「清空」，真正的挑戰在於從日誌（Mail Logs）中找出那些具備隱蔽性的異常連線。這類問題通常涉及 GSN 架構限制或是惡意的資安滲透，無法單靠基礎規則排除。本篇將分享如何建立第 5 與第 6 道進階稽核防線。 二、 痛點一：無解的 GSN 反解限制與 554 退信 當寄往 *@gmx.com 等歐洲伺服器時，常收到對方無情的 554 拒絕代碼： 554-Bad DNS PTR resource record. 554-No SMTP service 1. 網管架構分析：PTR 反解的技術死角 歐洲郵件商執行嚴格的 PTR 檢查。由於本單位使用 GSN (政府網際服務網) ，固定 IP 的反解權限掌握在電信骨幹中心。在反解名稱與 EHLO 宣告不符的情況下，連線會被收信端視為偽造 IP 直接退信。這在技術上形成了本地端難以突破的障礙。 2. 應對策略：果斷執行 Discard 策略 既然 PTR 在現有架構下無法修正，持續 Retry 只會虛耗系統 I/O。我們建立專屬規則：偵測到報錯符合 554 邏輯時，直接執行「丟棄 (Discarded)」。...

📚 延伸閱讀：相關技術系列 👉 Graylog Log 分析系統安裝 👉 HPE IMC 7.3 安裝教學 (Linux) 👉 Cacti 監控安裝 (CentOS 8) 【網管日常補充】防線建立後的維護 SOP：郵件日誌追蹤與名單收斂 設定好四道自動化 SMTP 稽核條例，其實只完成了防護的第一步。由於後端業務系統（AP System）的使用者每天仍可能輸入各種千奇百怪的錯誤地址，身為系統管理員，我們後續的日常維護 SOP 便是透過 「日誌追蹤與收斂」 ，持續補強防禦網。 以下分享近期在實務日誌（Mail Logs）中抓到的「漏網之魚」，以及對應的收斂策略： 1. 揪出使用者的「變種」拼字錯誤 (收斂至 4.4.3 規則) 即使我們已經攔截了最常見的 gmial.com，使用者還是會創造出新的錯誤。例如在近期的日誌追蹤中，我們又發現了： *@gmaol.com （Gmail 鍵盤誤打，o 在 i 旁邊） *@ms63.hiinet.net （Hinet 網域不小心多打了一個 i） 🛠️ 網管處置： 一旦在日誌中發現這類因手誤導致 DNS 根本無法解析（Host not found）的新網域，應立即將其補入 【規則一：直接刪除】 的清單中。 2. 隱藏的代管信箱容量爆滿 (收斂至 4.2.2 規則) 有時候日誌會出現看似正常的企業網域（例如 shirley1591@litung.****.tw），但錯誤代碼卻回報 The recipient's inbox is out of storage space。進一步查看 Log 會發現，對方底層其實是使用 Google Workspace 等代管服務，且信箱已經被塞滿。 🛠️ 網管處置： 只要是由 AP 系統高頻率觸發的 Over Quota 帳號，無論是個人信箱還是企業信箱，都應將該完整 Email 加入 【規則三：直接刪除】 ，避免 MT...