前言
- 一、郵箱被盜帶來的問題
- 二、郵箱被盜自動化檢測和封禁手段
- 三、電子郵件系統保障手段
前言
智能時代,企業經常使用郵箱進行辦公交流,提升工作效率。一封封郵件,背負着傳輸業務資訊的重要使命。但天下攘攘皆為利往,盜号高手神出鬼沒,郵件小白安全意識薄弱,一不留神郵箱賬号就被盜了,轉眼間賬号外發大量垃圾郵件,電光火石間員工因釣魚郵件出現财産損失!Coremail雲服務中心管理者社群(廣東盈世計算機科技有限公司所有),特邀清華大學郵箱管理者馬雲龍老師針對被盜郵箱處置分享實際運維經驗。
本文及觀點來自清華大學資訊化技術中心 馬雲龍老師,文章首發于Coremail雲服務中心管理者社群。原創文章,轉載請注明出處哦。
一、郵箱被盜帶來的問題
1.使用者電子郵箱目前是有效電子身份辨別之一,郵箱被盜等同于電子身份丢失,黑産除了利用被盜郵箱對外發送垃圾郵件,釣魚郵件,更惡劣的會利用通訊錄及郵箱内往來郵件,騙取同僚、朋友等熟人信任,發送欺詐郵件,造成經濟或個人隐私甚至涉密資料的損失。
2.黑産利用被盜郵箱大批次,頻繁發送垃圾郵件,會導緻本域發信位址進入RBL清單,進而導緻全域郵箱使用者外發郵件被拒,影響全域使用者。
3.郵箱被盜還可能導緻其他資訊系統被入侵,電子郵件系統為此而受到的攻擊廣泛存在,一旦被入侵可能會導緻其他資訊系統個人資料丢失,此類事件時有發生。
二、郵箱被盜自動化檢測和封禁手段
1.利用賬号+IP在同一時段内的登陸行為進行檢測
a) IP可以設定信任域,例如設定校内IP範圍為信任域,校外IP為非信任域,來自同一IP在同一時段(例如15分鐘)内頻繁登陸本域不同郵箱(超過5個),可以認為該IP非常可疑,可以執行封禁
b) 當然,對于使用NAT的園區網絡,的确可能存在多人共用同一IP通路網絡的情況,如以上措施出現誤封,可适當調整門檻值或設定信任域IP範圍解決。
c) 對于同一郵箱在同一時段(例如5分鐘)内,有來自不同的IP成功登陸(例如2個IP),有理由認為該郵箱可能被盜,可進行提醒或封禁。
d) 同一IP頻繁登陸不同郵箱,出現大量登陸失敗的情況,可以認為該IP在破解郵箱使用者密碼,可以執行封禁,當然,郵件系統本身也有頻繁登陸的自我保護機制,可以結合在一起形成組合拳。
2.按照對外發送郵件的傳回特征進行檢測
a) 對外發送郵件超過預設門檻值(例如15分鐘發送200封),不見得是被盜,因為校内會存在大量用作發送通知/提醒的郵箱,除了建立單獨隊列保障正常生産使用者的使用體驗,也要進行适當檢測,甄别是否真的被盜用
b) 黑産通常擔心郵件系統的自動檢測機制會檢測到被盜郵箱大頻次發送郵件,進而該郵箱被封禁,是以會頻繁更換發送IP位址,更換主題,低頻次發送釣魚/欺詐/垃圾郵件,針對此類特征,可以在一定時段内檢測郵箱活躍度,對于活躍度異常的郵箱進行告警。
3.被盜郵箱封禁
a) 針對黑産IP位址可以在出口路由器做零路由封禁,在Coremail高校管理者群,中科大的老師公布了一批黑産IP,也有一些廠商提供黑産IP情報,對此保持同步封禁,可以一定程度上防範。
![網絡空間安全中高職業院校職技能大賽——Telnet弱密碼滲透測試[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)