清華大學：應對二十大保障，郵件系統安全先行

清華大學：應對二十大保障，郵件系統安全先行

作者： C oremail 管理員社群大咖嘉賓 ——清華大學 馬雲龍

電子郵件 系統 是清華大學最早 也是 最重要的公共資訊服務基礎設施之一，建成至今，已成為清華大學師生生活、學習、教學和科研創新發展的資訊化關鍵支撐系統之一。目前清華大學電子郵件系統主要為清華大學教工及學生提供電子郵箱服務，域名為 m ail.tsinghua.edu.cn 和 m ails.tsinghua.edu.cn 。其中教工域共計開通 4 萬個郵箱，學生域共計開通 8 . 5 萬個郵箱。平均每月活躍度超過 4 0 %。

 

從本年度的收件情況統計來看，平均每天接收郵件達到一千萬封，其中垃圾郵件佔比達到 99 %，這其中包含大量由於 SPF 檢查或 RBL 被列黑從而被拒收的郵件，實際到達郵件系統的郵件來看，平均每天接收超過 1 20 萬封垃圾郵件。其中有 4. 6 %的為惡意郵件-釣魚郵件，之前還存在少量的惡意郵件-病毒郵件的情況。外發郵件檢測結果來看，平均每天有超過3 0 %的外發郵件被識別為垃圾郵件。

 

鑑於目前的生產系統情況以及資訊化重保執行時期要求，尤其二十大保障期間，對於電子郵件系統提出了更嚴格的安全保障需求。因此不僅需要加強郵件系統安全建設，更需要從郵件系統使用者梳理入手，清理、整頓大量已離職和離校使用者以及殭屍賬號。計劃新增安全措施主要如下幾點：

1.  雙因素認證建設。從近期執行情況看，黑產等組織獲取到郵件系統使用者密碼後不再簡單透過 smtp傳送普通釣魚郵件，而是有了比較新的變化，透過登陸webmail，獲取被盜使用者的通訊錄，透過收件箱中的某些熱點或新通知郵件稍加改造，偽冒一份通知或提醒郵件，發給通訊錄中所有收件人。如下截圖所示：

 

這種釣魚郵件來自相互信任或熟人之間的通訊，往往會使得收件人放鬆警惕，另外收發信人在同系統內，往往會繞過系統層面嚴格的安全策略，更容易到達對方收件箱。為了應對這種情況，雙因素認證部署是比較好的解決方案，使用者即使密碼被盜，仍然可以保證 webmail安全。另外coremail公司對於啟用雙因素認證使用者，系統強制生成一個高強度客戶端專用密碼，透過客戶端暴力破解使用者口令的行為基本得到抑制。當然，以上邏輯也會對資訊化素養比較薄弱的使用者帶來使用上的不便，但是為了安全考慮，本人認為還是值得推廣應用。

2.  使用者清理和電子身份年審工作。本次清理已離校 /離職人員及長期未使用的殭屍郵箱為主，共計刪除 1 . 7 萬個教工域郵箱，刪除學生域郵箱 2. 3 萬個，補充 /更新/完善使用者資訊電子郵箱共計 1 k多個。通時開展電子身份年審工作，強制使用者修改口令，避免一個密碼打天下，一個密碼用一生的情況。電子身份年審工作可有效降低郵箱密碼被盜帶來的安全風險。

3.  加強宣傳工作。資訊保安畢竟是專業性比較強的內容，為了提高校內師生資訊保安素養，透過微信公眾號推送，雨課堂安全課程學習，各類郵件提醒、安全通知，辦公系統釋出校級安全提醒通知等多方面舉措並行，使用者安全素養提高可以大大降低被釣魚成功的風險。

 

版權宣告：本文為清華大學資訊化技術中心 馬雲龍老師的原創文章，文章首發於 Coremail雲服務中心管理員社群。