邮箱被盗号并向外发送垃圾钓鱼邮件情况频发,不仅会导致收件人上当受骗,更会影响发信IP的可用度和发信域的声誉,影响域内用户的正常外发。
除了加强对账号异常登录、收发的行为的监控,以及加强对入信中钓鱼邮件的识别,有两个方向的努力也非常重要,一是提高用户的网络安全意识,二是降低账号被盗的概率。
在降低账号密码被盗的影响方面,开启二次验证登录是有效的办法。
一、高校邮件系统概述
1.高校邮箱的主要用途
高校的电子邮件系统,用户主要为教师和学生,用户量大,日常收发量大。对于教职工而言,除日常工作交流外,最重要的用途便是海内外学术交流和校务、课务通知等。对于学生而言,主要包括接收通知、提交作业、学术交流、找工作等。
2.高校邮箱用户的现状
用户类型:根据相关要求,高校需加强邮箱账号管理,建立和完善电子邮件账号注销机制,但在一定时间段内,邮件系统中可能同时存在离校学生/员工、在校学生、在校教职工的个人邮箱和院系部处工作邮箱。各高校均不同程度存在长期无人使用或管理的“僵尸账号”。存在被他人利用的网络安全风险。
使用方式:在使用方式上,日常以各种第三方邮箱客户端为主的用户不在少数。还存在使用自动转发、日常很少或几乎不登录的用户。
安全意识:师生用户网络安全意识参差不齐、警惕性不足,不少用户喜欢使用常见的密码组合或与身份证号、生日、姓名拼音等个人信息相关的字符串。面对各类钓鱼邮件,也时有师生用户“中招”。
二、实施登录二次验证的流程
1.实施前准备工作
(1)系统对接与测试
以Coremail XT6邮件系统为例,其二次验证目前支持Coremail论客App、第三方OTP、手机短信、备用邮箱、微信小程序等多种方式,需根据自身系统情况,对短信平台等进行对接测试,确保相关验证方式能正常运行。
(2)二次验证流程与信任逻辑的理解
邮件系统管理员和信息化部门(IT部门)工作人员需要熟悉二次验证绑定设置、使用、解绑全部流程,并进行试用,了解常见问题。
二次验证基本流程:用户登录——校验密码——二次验证请求下发——用户反馈或确认——校验通过——登录到邮箱界面。 建议邮件系统服务商与学校邮件系统管理员进行深入沟通,理清二次验证机制及各种验证方式的信任逻辑,对二次验证中可能存在的风险点或问题点形成更清晰的认识,也有助于出现问题后的排查研判。
例如:
①【豁免时间】
当用户已经绑定/解绑/修改绑定一次后,系统默认会提供15分钟豁免时间。在15分钟内用户再次绑定/解绑/修改绑定前,都不需要先二次验证。
②【Coremail论客App】
当更换设备时,新设备上的App会要求二次验证,这是由于绑定方式与设备相关,原信任设备不可用时,只能通过后台解绑,再绑定新设备。
③【忘记密码】
短息找回密码方式,如果仅在“个人信息”中维护过手机号,此方式不可用,需要在“二次验证”中绑定过手机号,或者在“高级功能”中设置过“绑定手机”;备用邮箱找回密码方式,则在“个人信息”中维护过备用邮箱即可用。
④【客户端专用密码】
如果对组织仅强制启用二次验证,组织内的账号仅在通过web页面登录时会强制跳转到配置二次验证页面。如果不绑定二次验证,用户依然可以使用原账号密码登录客户端协议,通过SMTP发送邮件(已经被盗的账号,依然可以通过客户端协议发送邮件)。因此,组织启用二次验证后,建议在密码策略-高级设置中,同时勾选强制使用客户端专用密码的设置项。
(3)用户手册的编制
面向用户,编写详细的步骤指南,包括绑定设置、使用、换绑或解绑等全流程。并参考服务商和其他兄弟院校的经验,提供常见问题的解答。尤其是,启用二次验证后,客户端软件需要修改客户端专用密码。
基于该用户手册,对服务人员做好培训,以应对可能发生服务量增长。如有知识库或智能问答机器人,可将相关内容导入。
2.根据实际情况分阶段启用
分析用户构成情况,制定好通知和启用的计划。
(1)用户群体的识别与分析
对用户群体做好分析,例如教师、学生、部门邮箱,离校学生、在校学生,离校职工、在校职工,长期不登录的不活跃账号、6个月内有登录记录的活跃账号等。分析用户结构,为后续分批启用提供参考。
(2)针对不同用户群体制定启用计划
针对不同用户群体,分批发送通知,告知二次验证启用事宜,在通知的截止日期操作开启(仅举例供参考,请根据实际情况制定计划)。
例如:
- 长期不活跃账号:保护性锁定、强制开启二次验证
- 学生账号:区分在校、非在校状态,先对非在校学生账号强制开启,再对在校学生账号强制开启
- 教师账号:多次通知,建议开启,后根据启用情况,逐步全面覆盖;离校职工的账号应及时注销或锁定
- 有被盗记录或大量被攻击的账号:强制开启
- 部门邮箱:根据实际业务需求启用或设置例外
- 新开通邮箱:强制开启