E-mail sender info@hsbc.com source IP from Microsoft Farm
今日Mail server 收到大量假冒info@hsbc.com的電郵。同事即時去找攔截方法,並翻查server log為何這些假冒電郵能夠跳過 CommTouch 和 SpamAssassin 雙重防線。
- 發現HSBC DNS雖然有SPF (Sender Policy Framework),但是最失敗的就是SPF同時設定為SOFTFAIL (接受SPF以外的發送者 / 只標記)。
HSBC.com text = “v=spf1 mx ip4:212.249.34.148 ip4:208.131.51.20 ip4:63.95.36.174 ip4:204.178.86.20 ip4:203.112.80.9/20 ip4:193.108.72.63 ip4:91.214.7.46 ip4:212.11.24.10/26 ip4:195.68.113.10/26 ip4:85.119.232.200 ip4:205.214.176.20 ip4:193.27.7.13 ip4:212.100.210.103 ~all”
- 同時那些郵件大小剛好大於 SpamAssassin 不驗查大於 512KB 郵件的設定。
結果要把Mail Server 的 SpamAssassin 驗查上限修改到1024KB,過完SpamAssassin 後即時被打了17分入了Junk Mail box。
Reverse Lookup Result of IP 138.91.171.148 結果為Microsoft,好可能是Microsoft Azure Cloud 內,客戶的電腦被Hack吧。
HSBC 作為一間世界性銀行境然沒用到DomainKeys/DKIM 電郵簽名。而全部Server用Private Cloud 境然設定好SPF 而不設定HARDFAIL (排除SPF 以外的發送者)
而現在網絡頻寛比十年前快了很多,以前深信無人會發大垃圾的觀念可能要改改。以一條100Mbps (12MB/s) Uplink來計算,每秒可以發出大約24個512KB 的垃圾電郵。當然這樣做有些不智,但如果用Hack返來別人的Server來發送的話就不同了。而被Hack的 Cloud 客戶好可能會收到 Bandwidth Cost 的帳單震撼彈。
Reference
Microsoft.com – Description of Sender Policy Framework (SPF) records
Wiki – DomainKeys Identified Mail
OFTA ﹣ 流動通訊服務帳單震撼