高校被盜郵箱處置的運維經驗分享-清華大學
高校被盜郵箱處置的運維經驗分享
清華大學資訊化技術中心 馬雲龍
摘要: 智慧時代,企業經常使用郵箱進行辦公交流,提升工作效率。一封封郵件,揹負著傳輸業務資訊的重要使命。但天下攘攘皆為利往,盜號高手神出鬼沒,郵件小白安全意識薄弱,一不留神郵箱賬號就被盜了,轉眼間賬號外發大量垃圾郵件,電光火石間員工因釣魚郵件出現財產損失! Coremail雲服務中心管理員社群(廣東盈世計算機科技有限公司所有),特邀清華大學郵箱管理員馬雲龍老師針對被盜郵箱處置分享實際運維經驗。
(一)郵箱被盜帶來的問題
1.使用者電子郵箱目前是有效電子身份標識之一,郵箱被盜等同於電子身份丟失,黑產除了利用被盜郵箱對外傳送垃圾郵件,釣魚郵件,更惡劣的會利用通訊錄及郵箱內往來郵件,騙取同事、朋友等熟人信任,傳送欺詐郵件,造成經濟或個人隱私甚至涉密資料的損失。
2.黑產利用被盜郵箱大批次,頻繁傳送垃圾郵件,會導致本域發信地址進入RBL列表,從而導致全域郵箱使用者外發郵件被拒,影響全域使用者。
3.郵箱被盜還可能導致其他資訊系統被入侵,電子郵件系統為此而受到的攻擊廣泛存在,一旦被入侵可能會導致其他資訊系統個人資料丟失,此類事件時有發生。
(二)郵箱被盜自動化檢測和封禁手段
1.利用賬號+IP在同一時段內的登陸行為進行檢測
a) IP可以設定信任域,例如設定校內IP範圍為信任域,校外IP為非信任域,來自同一IP在同一時段(例如15分鐘)內頻繁登陸本域不同郵箱(超過5個),可以認為該IP非常可疑,可以執行封禁
b) 當然,對於使用NAT的園區網路,的確可能存在多人共用同一IP訪問網路的情況,如以上措施出現誤封,可適當調整閾值或設定信任域IP範圍解決。
c) 對於同一郵箱在同一時段(例如5分鐘)內,有來自不同的IP成功登陸(例如2個IP),有理由認為該郵箱可能被盜,可進行提醒或封禁。
d) 同一IP頻繁登陸不同郵箱,出現大量登陸失敗的情況,可以認為該IP在破解郵箱使用者口令,可以執行封禁,當然,郵件系統本身也有頻繁登陸的自我保護機制,可以結合在一起形成組合拳。
2. 按照對外傳送郵件的返回特徵進行檢測
a) 對外傳送郵件超過預設閾值(例如 15分鐘傳送200封),不見得是被盜,因為校內會存在大量用作傳送通知/提醒的郵箱,除了建立單獨佇列保障正常生產使用者的使用體驗,也要進行適當檢測,甄別是否真的被盜用
b) 黑產通常擔心郵件系統的自動檢測機制會檢測到被盜郵箱大頻次傳送郵件,從而該郵箱被封禁,所以會頻繁更換髮送 IP地址,更換主題,低頻次傳送釣魚/欺詐/垃圾郵件,針對此類特徵,可以在一定時段內檢測郵箱活躍度,對於活躍度異常的郵箱進行告警。
3.被盜郵箱封禁
a) 針對黑產IP地址可以在出口路由器做零路由封禁,在coremail高校管理員群,中科大的老師公佈了一批黑產IP,也有一些廠商提供黑產IP情報,對此保持同步封禁,可以一定程度上防範。
b) 或者利用fail2ban,在電子郵件系統前端伺服器啟用iptables進行地址封禁。
(三)電子郵件系統保障手段
1.利用負載均衡裝置,設定發信地址池與域名地址及收信地址分離,在SPF中增加多段地址作為發信可用地址,當發現發信地址進入RBL中,及時更換,不影響正常發信業務,同時申請解封工作。
2.國外高校傳送offer通常使用gmail等郵箱做代發,公共郵件服務商的發信地址有很多都在RBL中,從而影響正常接收,可以設定單獨佇列,取消RBL檢測。
3.對於教育部/基金委等域名可做白名單佇列保障重要通知郵件不丟失。
版權宣告:本文為清華大學資訊化技術中心 馬雲龍老師的原創文章,文章首發於 Coremail雲服務中心管理員社群。轉載請附上原文出處連結及本宣告。
關於馬老師提到的黑產 IP共享,Coremail主辦的教育網域名黑白名單徵集活動歡迎上雲服務中心管理員社群檢視。
結合 Coremail的CAC大資料中心長期以來的調研資料與本期活動所有教育網客戶的反饋,將第一期【教育網使用者郵箱黑/白域名】名單彙總公佈1773個教育網相關的域名白名單,共20餘家教育網客戶參與域名徵集。歡迎廣大教育網客戶、各高校老師積極反饋意見建議,推動此項工作不斷改進最佳化,推薦更加科學合理的域名設定標準。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69999973/viewspace-2906778/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 高校郵件系統盜號問題處置經驗-復旦大學
- 客戶案例:Coremail聚焦高校郵箱盜號問題,築牢安全牆REMAI
- 運維經理的運維經驗總結運維
- 短網址開發運維經驗總結分享運維
- hadoop運維經驗Hadoop運維
- gitlab郵箱驗證 郵箱提醒設定Gitlab
- js驗證郵箱JS
- Javascript郵箱驗證JavaScript
- PHP中的郵箱驗證PHP
- JavaScript郵箱格式驗證JavaScript
- 高校運維賽WEB部分-gxngxngxn運維Web
- MySQL從庫維護經驗分享MySql
- 快準穩:值得所有運維學習的SRE故障處理經驗運維
- 四年運維生產經驗分享:Nordstrom的事件溯源系列之一運維事件
- 郵箱格式驗證程式碼
- 郵箱地址校驗方法探究
- qq郵箱收不到epic驗證郵件怎麼辦 epic郵箱驗證沒反應怎麼辦
- jQuery郵箱格式驗證程式碼jQuery
- 使用telnet命令驗證郵箱
- 運維人員需重視非技術能力(老鳥經驗分享)薦運維
- 運維7年,對Linux的經驗總結運維Linux
- 電子郵箱是qq郵箱嗎 電子郵箱和qq郵箱的區別聯絡介紹
- 直播app原始碼,驗證方式選擇郵箱驗證時,自動給輸入好的郵箱傳送驗證碼APP原始碼
- js實現的郵箱格式驗證程式碼JS
- Java實現郵箱驗證碼功能Java
- 郵箱地址正規表示式驗證
- 郵箱格式驗證程式碼例項
- 郵箱格式驗證程式碼詳解
- php正則驗證手機、郵箱PHP
- 經驗分享:MySQL日誌維護策略總結MySql
- 回顧走上Linux運維路上的那點經驗Linux運維
- 經驗分享 ----------
- 經驗分享
- Redis 運維實際經驗紀錄之一Redis運維
- 擁有企業郵箱有什麼好處?godaddy企業郵箱好用嗎?Go
- 高校賬號盜用監控及釣魚郵件檢測-上海交通大學
- 雙一流高校全球通郵經驗:Coremail安全海外中繼提升科研效率REMAI中繼
- Laplace分佈運算元開發經驗分享