高校被盗邮箱处置的运维经验分享-清华大学
前言
- 一、邮箱被盗带来的问题
- 二、邮箱被盗自动化检测和封禁手段
- 三、电子邮件系统保障手段
前言
智能时代,企业经常使用邮箱进行办公交流,提升工作效率。一封封邮件,背负着传输业务信息的重要使命。但天下攘攘皆为利往,盗号高手神出鬼没,邮件小白安全意识薄弱,一不留神邮箱账号就被盗了,转眼间账号外发大量垃圾邮件,电光火石间员工因钓鱼邮件出现财产损失!Coremail云服务中心管理员社区(广东盈世计算机科技有限公司所有),特邀清华大学邮箱管理员马云龙老师针对被盗邮箱处置分享实际运维经验。
本文及观点来自清华大学信息化技术中心 马云龙老师,文章首发于Coremail云服务中心管理员社区。原创文章,转载请注明出处哦。
一、邮箱被盗带来的问题
1.用户电子邮箱目前是有效电子身份标识之一,邮箱被盗等同于电子身份丢失,黑产除了利用被盗邮箱对外发送垃圾邮件,钓鱼邮件,更恶劣的会利用通讯录及邮箱内往来邮件,骗取同事、朋友等熟人信任,发送欺诈邮件,造成经济或个人隐私甚至涉密数据的损失。
2.黑产利用被盗邮箱大批次,频繁发送垃圾邮件,会导致本域发信地址进入RBL列表,从而导致全域邮箱用户外发邮件被拒,影响全域用户。
3.邮箱被盗还可能导致其他信息系统被入侵,电子邮件系统为此而受到的攻击广泛存在,一旦被入侵可能会导致其他信息系统个人数据丢失,此类事件时有发生。
二、邮箱被盗自动化检测和封禁手段
1.利用账号+IP在同一时段内的登陆行为进行检测
a) IP可以设置信任域,例如设置校内IP范围为信任域,校外IP为非信任域,来自同一IP在同一时段(例如15分钟)内频繁登陆本域不同邮箱(超过5个),可以认为该IP非常可疑,可以执行封禁
b) 当然,对于使用NAT的园区网络,的确可能存在多人共用同一IP访问网络的情况,如以上措施出现误封,可适当调整阈值或设置信任域IP范围解决。
c) 对于同一邮箱在同一时段(例如5分钟)内,有来自不同的IP成功登陆(例如2个IP),有理由认为该邮箱可能被盗,可进行提醒或封禁。
d) 同一IP频繁登陆不同邮箱,出现大量登陆失败的情况,可以认为该IP在破解邮箱用户口令,可以执行封禁,当然,邮件系统本身也有频繁登陆的自我保护机制,可以结合在一起形成组合拳。
2.按照对外发送邮件的返回特征进行检测
a) 对外发送邮件超过默认阈值(例如15分钟发送200封),不见得是被盗,因为校内会存在大量用作发送通知/提醒的邮箱,除了建立单独队列保障正常生产用户的使用体验,也要进行适当检测,甄别是否真的被盗用
b) 黑产通常担心邮件系统的自动检测机制会检测到被盗邮箱大频次发送邮件,从而该邮箱被封禁,所以会频繁更换发送IP地址,更换主题,低频次发送钓鱼/欺诈/垃圾邮件,针对此类特征,可以在一定时段内检测邮箱活跃度,对于活跃度异常的邮箱进行告警。
3.被盗邮箱封禁
a) 针对黑产IP地址可以在出口路由器做零路由封禁,在Coremail高校管理员群,中科大的老师公布了一批黑产IP,也有一些厂商提供黑产IP情报,对此保持同步封禁,可以一定程度上防范。
b) 或者利用fail2ban,在电子邮件系统前端服务器启用iptables进行地址封禁。
三、电子邮件系统保障手段
1.利用负载均衡设备,设置发信地址池与域名地址及收信地址分离,在SPF中增加多段地址作为发信可用地址,当发现发信地址进入RBL中,及时更换,不影响正常发信业务,同时申请解封工作。
2.国外高校发送offer通常使用gmail等邮箱做代发,公共邮件服务商的发信地址有很多都在RBL中,从而影响正常接收,可以设置单独队列,取消RBL检测。
3.对于教育部/基金委等域名可做白名单队列保障重要通知邮件不丢失。
以上文章及观点来自清华大学信息化技术中心 马云龙老师,文章首发于Coremail云服务中心管理员社区。原创文章,转载请注明出处。
高校被盗邮箱处置的运维经验分享-清华大学相关推荐
- 运维经验分享(六)-- 深究crontab不能正确执行Shell脚本的问题(二)
运维经验分享作为一个专题,目前共7篇文章 <运维经验分享(一)-- Linux Shell之ChatterServer服务控制脚本> <运维经验分享(二)-- Linux Shell ...
- 运维经验分享(三)-- 解决Ubuntu下crontab不能正确执行脚本的问题
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://dgd2010.blog.51cto.com/1539422/1676490 运维 ...
- 进程管理程序java,运维经验分享(四)--关于 java进程管理的服务控制脚本编程思路分析...
运维经验分享作为一个专题,目前共7篇文章 ====================================分割线====================================== C ...
- Linux线上运维经验分享与故障排除技巧-高俊峰-专题视频课程
Linux线上运维经验分享与故障排除技巧-743人已学习 课程介绍 主要介绍Linux线上服务器的运维经验和实战操作过程,并介绍常见的系统故障排查思路与问题解决技巧. 课程收益 ...
- 本人32岁,转行做运维经验分享
32岁,才选择入行做LINUX运维,以前是销售,每天上班基本就是玩,也没有什么追求,记得有一年过春节回家,跟我一起玩大的朋友说月薪上万了,然后我的工资才5K,真心把我打击到了.很自悲. 过完春节,来公 ...
- 5年运维经验分享:一个小白走向高级运维工程师之路
我是Freeman,88年的,老家河南,来上海4年,O2O行业高级运维工程师,拥有5年运维经验. 我目前维护上千台服务器,熟悉大型网站架构,熟悉集群高可用,熟悉数据库.对大并发场景下的业务稳定性可用性 ...
- 读唯品会NoSQL平台自动化发展及运维经验分享
看完后,点赞. 点子不错,基于zabbix,再次封装api,dashboard可以创造这么多强悍实用的功能,不错. 所用的技术栈不是很新,但是用得到好,用得深入,产生了价值. 各位好,这篇文字是我上周 ...
- 服务器维护经验分享,医院IT运维经验分享.pdf
智慧医院之 IT运维管理经验分享 汇报人:周月香 长沙市第一医院 信息科 PART01 医院信息化建设现状 目录 PART02 医院信息化运营管理 CO N TEN T PART03 信息工单及项目管 ...
- 运维经验分享:关于系统运维监控的几点建议
目前很多企业信息化系统都有自己的监控平台和监控手段,无论是采用哪种手段去实现对系统的实时监控和故障告警,大多采用的方式也只有两种:集中式监控和分布式监控.本文作者根据自身公司监控存在的问题,总结了一些 ...
最新文章
- 【OpenCV 4开发详解】图像极坐标变换
- java 知乎面试题_Java并发面试题自己总结
- 计算机行业越来越卷,AI都会刷LeetCode了,网友:比我强
- 数据挖掘十大经典算法之——AdaBoost 算法
- 黑马训练营自学笔记(03)
- 设置centos6 yum源为光盘
- 将二进制文件bold转化为文件file
- idea工具拉取GitHub远程代码
- android 动画 图片 内存溢出,Android有效解决加载大图片时内存溢出的问题
- JavaScript语言核心(五)-- 异步 async/await
- 用glew,glfw实现的opengl 学习笔记2画一个四方形
- 2016国内移动广告平台排行榜
- python-scrapy模拟登陆网站--登陆青果教务管理系统(二)
- win10中安装centos7双系统
- 硬盘的Smart信息说明
- 打怪小游戏(快做完了)
- 中科院计算所王永庆详解IJCAI 17录用论文:如何用注意力机制RNN进行信息传播建模?|IJCAI 2017...
- Linux下 ifconfig 命令的使用(Linux命令)
- 一软件工程师猝死,愿天堂没有代码
- Mac系统下如何创建锁屏快捷键