高校被盜郵箱處置的運維經驗分享-清華大學

高校被盜郵箱處置的運維經驗分享

清華大學資訊化技術中心 馬雲龍

摘要： 智慧時代，企業經常使用郵箱進行辦公交流，提升工作效率。一封封郵件，揹負著傳輸業務資訊的重要使命。但天下攘攘皆為利往，盜號高手神出鬼沒，郵件小白安全意識薄弱，一不留神郵箱賬號就被盜了，轉眼間賬號外發大量垃圾郵件，電光火石間員工因釣魚郵件出現財產損失！ Coremail雲服務中心管理員社群（廣東盈世計算機科技有限公司所有），特邀清華大學郵箱管理員馬雲龍老師針對被盜郵箱處置分享實際運維經驗。

（一）郵箱被盜帶來的問題
1.使用者電子郵箱目前是有效電子身份標識之一，郵箱被盜等同於電子身份丟失，黑產除了利用被盜郵箱對外傳送垃圾郵件，釣魚郵件，更惡劣的會利用通訊錄及郵箱內往來郵件，騙取同事、朋友等熟人信任，傳送欺詐郵件，造成經濟或個人隱私甚至涉密資料的損失。
2.黑產利用被盜郵箱大批次，頻繁傳送垃圾郵件，會導致本域發信地址進入RBL列表，從而導致全域郵箱使用者外發郵件被拒，影響全域使用者。
3.郵箱被盜還可能導致其他資訊系統被入侵，電子郵件系統為此而受到的攻擊廣泛存在，一旦被入侵可能會導致其他資訊系統個人資料丟失，此類事件時有發生。

（二）郵箱被盜自動化檢測和封禁手段

1.利用賬號+IP在同一時段內的登陸行為進行檢測
a) IP可以設定信任域，例如設定校內IP範圍為信任域，校外IP為非信任域，來自同一IP在同一時段（例如15分鐘）內頻繁登陸本域不同郵箱（超過5個），可以認為該IP非常可疑，可以執行封禁
b) 當然，對於使用NAT的園區網路，的確可能存在多人共用同一IP訪問網路的情況，如以上措施出現誤封，可適當調整閾值或設定信任域IP範圍解決。
c) 對於同一郵箱在同一時段（例如5分鐘）內，有來自不同的IP成功登陸（例如2個IP），有理由認為該郵箱可能被盜，可進行提醒或封禁。
d) 同一IP頻繁登陸不同郵箱，出現大量登陸失敗的情況，可以認為該IP在破解郵箱使用者口令，可以執行封禁，當然，郵件系統本身也有頻繁登陸的自我保護機制，可以結合在一起形成組合拳。

2. 按照對外傳送郵件的返回特徵進行檢測

a)  對外傳送郵件超過預設閾值（例如 15分鐘傳送200封），不見得是被盜，因為校內會存在大量用作傳送通知/提醒的郵箱，除了建立單獨佇列保障正常生產使用者的使用體驗，也要進行適當檢測，甄別是否真的被盜用

b)  黑產通常擔心郵件系統的自動檢測機制會檢測到被盜郵箱大頻次傳送郵件，從而該郵箱被封禁，所以會頻繁更換髮送 IP地址，更換主題，低頻次傳送釣魚/欺詐/垃圾郵件，針對此類特徵，可以在一定時段內檢測郵箱活躍度，對於活躍度異常的郵箱進行告警。

3.被盜郵箱封禁

a) 針對黑產IP地址可以在出口路由器做零路由封禁，在coremail高校管理員群，中科大的老師公佈了一批黑產IP，也有一些廠商提供黑產IP情報，對此保持同步封禁，可以一定程度上防範。

b) 或者利用fail2ban，在電子郵件系統前端伺服器啟用iptables進行地址封禁。

 

（三）電子郵件系統保障手段
1.利用負載均衡裝置，設定發信地址池與域名地址及收信地址分離，在SPF中增加多段地址作為發信可用地址，當發現發信地址進入RBL中，及時更換，不影響正常發信業務，同時申請解封工作。
2.國外高校傳送offer通常使用gmail等郵箱做代發，公共郵件服務商的發信地址有很多都在RBL中，從而影響正常接收，可以設定單獨佇列，取消RBL檢測。
3.對於教育部/基金委等域名可做白名單佇列保障重要通知郵件不丟失。

版權宣告：本文為清華大學資訊化技術中心 馬雲龍老師的原創文章，文章首發於 Coremail雲服務中心管理員社群。轉載請附上原文出處連結及本宣告。

 

關於馬老師提到的黑產 IP共享，Coremail主辦的教育網域名黑白名單徵集活動歡迎上雲服務中心管理員社群檢視。

結合 Coremail的CAC大資料中心長期以來的調研資料與本期活動所有教育網客戶的反饋，將第一期【教育網使用者郵箱黑/白域名】名單彙總公佈1773個教育網相關的域名白名單，共20餘家教育網客戶參與域名徵集。歡迎廣大教育網客戶、各高校老師積極反饋意見建議，推動此項工作不斷改進最佳化，推薦更加科學合理的域名設定標準。