高校邮件系统盗号问题处置经验
作者: 日期:2022年07月20日 阅:1,642

摘要:邮件系统是高校教学、科研交流的重要工具,账号管理和垃圾邮件处置是高校邮件系统的管理与运维工作中的重点、难点。一封封邮件,背负着传输业务信息的重要使命。但天下攘攘皆为利往,盗号高手神出鬼没,邮件小白安全意识薄弱,一不留神邮箱账号就被盗了,转眼间账号外发大量垃圾邮件,电光火石间员工因钓鱼邮件出现财产损失!Coremail云服务中心管理员社区(广东盈世计算机科技有限公司所有),特邀复旦大学信息化办公室徐艺扬老师针对高校邮件系统盗号问题分享处置经验。

一、高校邮箱的账号管理难点

    对大部分国内高校而言,首先是用户量大,在校师生多至几万名,离校用户每年增加,实际用户数量大大超过在校师生数量。其次是用户账号风险高,高校师生的邮箱是窃取的重点目标,很多师生的安全意识和使用习惯也有待提升。第三是盗号等攻击成功后负面影响大,一旦被盗号,账户本身的信息和联系人信息就会泄露,导致一连串的影响。攻击者很有可能会外发大量的恶意邮件,造成发信IP被列入黑名单;攻击者很有可能利用被盗邮箱的联系人信息,扩大恶意邮件传播影响范围;更严重的后果是财产损失和泄露重要科研信息。

二、常见的攻击手段与处置建议

在高校邮件系统日常运维中,常见的攻击手段主要是暴力破解盗号,以及仿冒邮件、诈骗邮件、钓鱼邮件等。例如,2022年上半年,来自江苏、安徽等地的IP成为暴力破解行为的主要来源;高校邮件系统近期高发的“系统备案”“账号备份”“邮服系统升级”“密码到期”类邮件;再次抬头的冒用“领导”名义、以“在吗”开头的诈骗邮件等。
    面对黑产攻击,我们的应对处置一般都是滞后的,同时针对邮件系统的黑产攻击也在逐渐升级。一般来说,直到系统或用户发现异常登录和发信行为,才会知道账号已经被盗。例如盗号攻击者会事先“踩点”,盗取多个账户进行储备,且从盗号到发送垃圾邮件之间,攻击者的潜伏和准备周期特别长;恶意邮件的发信行为更为贴近正常用户,或者内容上绕开关键词检测,尽量在一般邮件系统检测异常行为的阈值之内活动,难以第一时间察觉;垃圾邮件发件人会不断更换发件账号、IP,调整主题、内容,降低频率,发信成功率大大提高、被发现异常的概率降低。
    对此,我们分享以下处置建议:
    1.加大邮件系统建设和安全措施方面的投入,例如防火墙、邮件网关、邮件审核、反垃圾等措施,强化日常的监测与处置。
    2.定期对邮件系统进行巡检,关注弱密码用户、设置自动转发用户,提醒用户提高密码强度,对于长时间不活跃的账户,可以考虑冻结或锁定,减少攻击面。
    3.加强用户安全意识培养,主要方式包括安全宣传、培训和演练。加强对用户的宣传教育,利用热点新闻、网络安全宣传周、新生入学教育、新职工入职培训等契机,开展多样化的宣传,利用微信公众号开展信息安全宣传教育。其中,钓鱼邮件演练的效果是非常显著的。某高校曾面向新生开展了一次钓鱼邮件演习,点击了链接的同学中,试图输入用户名和密码的比例很高。后续遇到钓鱼邮件时,很多师生能够主动识别发件人、内容和链接的特征,还能帮助其他人判断、解答。面对真正的钓鱼邮件,中招的概率大大降低。

版权声明:本文为复旦大学信息化办公室徐艺扬老师的原创文章,文章首发于Coremail云服务中心管理员社区。转载请附上原文出处链接及本声明。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章