清華大學信息化技術中心 馬云龍

摘要：智能時代，企業經常使用郵箱進行辦公交流，提升工作效率。一封封郵件，背負著傳輸業務信息的重要使命。但天下攘攘皆為利往，盜號高手神出鬼沒，郵件小白安全意識薄弱，一不留神郵箱賬號就被盜了，轉眼間賬號外發大量垃圾郵件，電光火石間員工因釣魚郵件出現財產損失！Coremail云服務中心管理員社區（廣東盈世計算機科技有限公司所有），特邀清華大學郵箱管理員馬云龍老師針對被盜郵箱處置分享實際運維經驗。

1.用戶電子郵箱目前是有效電子身份標識之一，郵箱被盜等同于電子身份丟失，黑產除了利用被盜郵箱對外發送垃圾郵件，釣魚郵件，更惡劣的會利用通訊錄及郵箱內往來郵件，騙取同事、朋友等熟人信任，發送欺詐郵件，造成經濟或個人隱私甚至涉密數據的損失。

2.黑產利用被盜郵箱大批次，頻繁發送垃圾郵件，會導致本域發信地址進入RBL列表，從而導致全域郵箱用戶外發郵件被拒，影響全域用戶。

3.郵箱被盜還可能導致其他信息系統被入侵，電子郵件系統為此而受到的攻擊廣泛存在，一旦被入侵可能會導致其他信息系統個人數據丟失，此類事件時有發生。

1.利用賬號+IP在同一時段內的登陸行為進行檢測

a) IP可以設置信任域，例如設置校內IP范圍為信任域，校外IP為非信任域，來自同一IP在同一時段（例如15分鐘）內頻繁登陸本域不同郵箱（超過5個），可以認為該IP非?？梢?，可以執行封禁

b) 當然，對于使用NAT的園區網絡，的確可能存在多人共用同一IP訪問網絡的情況，如以上措施出現誤封，可適當調整閾值或設置信任域IP范圍解決。

c) 對于同一郵箱在同一時段（例如5分鐘）內，有來自不同的IP成功登陸（例如2個IP），有理由認為該郵箱可能被盜，可進行提醒或封禁。

d) 同一IP頻繁登陸不同郵箱，出現大量登陸失敗的情況，可以認為該IP在破解郵箱用戶口令，可以執行封禁，當然，郵件系統本身也有頻繁登陸的自我保護機制，可以結合在一起形成組合拳。

a) 對外發送郵件超過默認閾值（例如15分鐘發送200封），不見得是被盜，因為校內會存在大量用作發送通知/提醒的郵箱，除了建立單獨隊列保障正常生產用戶的使用體驗，也要進行適當檢測，甄別是否真的被盜用

b) 黑產通常擔心郵件系統的自動檢測機制會檢測到被盜郵箱大頻次發送郵件，從而該郵箱被封禁，所以會頻繁更換發送IP地址，更換主題，低頻次發送釣魚/欺詐/垃圾郵件，針對此類特征，可以在一定時段內檢測郵箱活躍度，對于活躍度異常的郵箱進行告警。

a) 針對黑產IP地址可以在出口路由器做零路由封禁，在coremail高校管理員群，中科大的老師公布了一批黑產IP，也有一些廠商提供黑產IP情報，對此保持同步封禁，可以一定程度上防范。

b) 或者利用fail2ban，在電子郵件系統前端服務器啟用iptables進行地址封禁。

1.利用負載均衡設備，設置發信地址池與域名地址及收信地址分離，在SPF中增加多段地址作為發信可用地址，當發現發信地址進入RBL中，及時更換，不影響正常發信業務，同時申請解封工作。

2.國外高校發送offer通常使用gmail等郵箱做代發，公共郵件服務商的發信地址有很多都在RBL中，從而影響正常接收，可以設置單獨隊列，取消RBL檢測。

3.對于教育部/基金委等域名可做白名單隊列保障重要通知郵件不丟失。

關于馬老師提到的黑產IP共享，Coremail主辦的教育網域名黑白名單征集活動歡迎上云服務中心管理員社區查看https://community.icoremail.net/article/296?bsh_bid=5770079369。

結合Coremail的CAC大數據中心長期以來的調研數據與本期活動所有教育網客戶的反饋，將第一期【教育網用戶郵箱黑/白域名】名單匯總公布1773個教育網相關的域名白名單，共20余家教育網客戶參與域名征集。歡迎廣大教育網客戶、各高校老師積極反饋意見建議，推動此項工作不斷改進優化，推薦更加科學合理的域名設置標準。