清华大学信息化技术中心 马云龙
摘要:智能时代,企业经常使用邮箱进行办公交流,提升工作效率。一封封邮件,背负着传输业务信息的重要使命。但天下攘攘皆为利往,盗号高手神出鬼没,邮件小白安全意识薄弱,一不留神邮箱账号就被盗了,转眼间账号外发大量垃圾邮件,电光火石间员工因钓鱼邮件出现财产损失!Coremail云服务中心管理员社区(广东盈世计算机科技有限公司所有),特邀清华大学邮箱管理员马云龙老师针对被盗邮箱处置分享实际运维经验。
(一)邮箱被盗带来的问题
1.用户电子邮箱目前是有效电子身份标识之一,邮箱被盗等同于电子身份丢失,黑产除了利用被盗邮箱对外发送垃圾邮件,钓鱼邮件,更恶劣的会利用通讯录及邮箱内往来邮件,骗取同事、朋友等熟人信任,发送欺诈邮件,造成经济或个人隐私甚至涉密数据的损失。
2.黑产利用被盗邮箱大批次,频繁发送垃圾邮件,会导致本域发信地址进入RBL列表,从而导致全域邮箱用户外发邮件被拒,影响全域用户。
3.邮箱被盗还可能导致其他信息系统被入侵,电子邮件系统为此而受到的攻击广泛存在,一旦被入侵可能会导致其他信息系统个人数据丢失,此类事件时有发生。
(二)邮箱被盗自动化检测和封禁手段
1.利用账号+IP在同一时段内的登陆行为进行检测
a) IP可以设置信任域,例如设置校内IP范围为信任域,校外IP为非信任域,来自同一IP在同一时段(例如15分钟)内频繁登陆本域不同邮箱(超过5个),可以认为该IP非常可疑,可以执行封禁
b) 当然,对于使用NAT的园区网络,的确可能存在多人共用同一IP访问网络的情况,如以上措施出现误封,可适当调整阈值或设置信任域IP范围解决。
c) 对于同一邮箱在同一时段(例如5分钟)内,有来自不同的IP成功登陆(例如2个IP),有理由认为该邮箱可能被盗,可进行提醒或封禁。
d) 同一IP频繁登陆不同邮箱,出现大量登陆失败的情况,可以认为该IP在破解邮箱用户口令,可以执行封禁,当然,邮件系统本身也有频繁登陆的自我保护机制,可以结合在一起形成组合拳。
2. 按照对外发送邮件的返回特征进行检测
a) 对外发送邮件超过默认阈值(例如15分钟发送200封),不见得是被盗,因为校内会存在大量用作发送通知/提醒的邮箱,除了建立单独队列保障正常生产用户的使用体验,也要进行适当检测,甄别是否真的被盗用
b) 黑产通常担心邮件系统的自动检测机制会检测到被盗邮箱大频次发送邮件,从而该邮箱被封禁,所以会频繁更换发送IP地址,更换主题,低频次发送钓鱼/欺诈/垃圾邮件,针对此类特征,可以在一定时段内检测邮箱活跃度,对于活跃度异常的邮箱进行告警。
3.被盗邮箱封禁
a) 针对黑产IP地址可以在出口路由器做零路由封禁,在coremail高校管理员群,中科大的老师公布了一批黑产IP,也有一些厂商提供黑产IP情报,对此保持同步封禁,可以一定程度上防范。
b) 或者利用fail2ban,在电子邮件系统前端服务器启用iptables进行地址封禁。
(三)电子邮件系统保障手段
1.利用负载均衡设备,设置发信地址池与域名地址及收信地址分离,在SPF中增加多段地址作为发信可用地址,当发现发信地址进入RBL中,及时更换,不影响正常发信业务,同时申请解封工作。
2.国外高校发送offer通常使用gmail等邮箱做代发,公共邮件服务商的发信地址有很多都在RBL中,从而影响正常接收,可以设置单独队列,取消RBL检测。
3.对于教育部/基金委等域名可做白名单队列保障重要通知邮件不丢失。
关于马老师提到的黑产IP共享,Coremail主办的教育网域名黑白名单征集活动欢迎上云服务中心管理员社区查看https://community.icoremail.net/article/296?bsh_bid=5770079369。
结合Coremail的CAC大数据中心长期以来的调研数据与本期活动所有教育网客户的反馈,将第一期【教育网用户邮箱黑/白域名】名单汇总公布1773个教育网相关的域名白名单,共20余家教育网客户参与域名征集。欢迎广大教育网客户、各高校老师积极反馈意见建议,推动此项工作不断改进优化,推荐更加科学合理的域名设置标准。
版权声明:本文为清华大学信息化技术中心 马云龙老师的原创文章,文章首发于Coremail云服务中心管理员社区。转载请附上原文出处链接及本声明。