Archive

文章標籤 ‘Sender Policy Framework’

E-mail sender info@hsbc.com source IP from Microsoft Farm

2013年9月25日 評論已關閉

今日Mail server 收到大量假冒info@hsbc.com的電郵。同事即時去找攔截方法,並翻查server log為何這些假冒電郵能夠跳過 CommTouch 和 SpamAssassin 雙重防線。

  1. 發現HSBC DNS雖然有SPF (Sender Policy Framework),但是最失敗的就是SPF同時設定為SOFTFAIL (接受SPF以外的發送者 / 只標記)。

    HSBC.com text = “v=spf1 mx ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20 ip4:203.112.80.9/20 ip4:193.108.72.63 ip4:91.214.7.46 ip4:212.11.24.10/26 ip4:195.68.113.10/26 ip4:85.119.232.200 ip4:205.214.176.20 ip4:193.27.7.13 ip4:212.100.210.103 ~all”

  2. 同時那些郵件大小剛好大於 SpamAssassin 不驗查大於 512KB 郵件的設定。

結果要把Mail Server 的 SpamAssassin 驗查上限修改到1024KB,過完SpamAssassin 後即時被打了17分入了Junk Mail box。

Screen Shot 2013-09-25 at 10.05.00 PM

Reverse Lookup Result of IP 138.91.171.148 結果為Microsoft,好可能是Microsoft Azure Cloud 內,客戶的電腦被Hack吧。

Screen Shot 2013-09-26 at 9.38.43 AM

HSBC 作為一間世界性銀行境然沒用到DomainKeys/DKIM 電郵簽名。而全部Server用Private Cloud 境然設定好SPF 而不設定HARDFAIL (排除SPF 以外的發送者)

而現在網絡頻寛比十年前快了很多,以前深信無人會發大垃圾的觀念可能要改改。以一條100Mbps (12MB/s) Uplink來計算,每秒可以發出大約24個512KB 的垃圾電郵。當然這樣做有些不智,但如果用Hack返來別人的Server來發送的話就不同了。而被Hack的 Cloud 客戶好可能會收到 Bandwidth Cost 的帳單震撼彈。

Reference

Microsoft.com – Description of Sender Policy Framework (SPF) records
Wiki – DomainKeys Identified Mail
OFTA ﹣ 流動通訊服務帳單震撼