TurboEx邮件系统安全特性介绍系列(二):防攻击防盗号防伪装邮件
企业邮箱作为企事业单位必不可少的对外和内部主要信息传输工具,承载着大量重要信息,电子邮件内容的泄露或篡改会给单位和个人带来无法估量的损失,同时电子邮件也是企业宝贵的数字资产,在当前国际关系复杂多变、互联网攻击概率日益加大的形势下,对邮件服务器系统的安全控制能力和开发商的研发技术实力要求更加突显。
拓波软件作为中国电子邮件行业领域的领先者,向企事业单位提供全面有效的安全防护方案,从系统层到用户层的每一个环节都提供了业内最全面的安全控制与威胁防护功能,主要分为以下九方面:
| 数据加密 | 防攻击 | 防盗用 |
| 反垃圾病毒邮件网关 | 多维安全访问控制 | 多种数据审核机制 |
| 用户安全操作管理 | 报警机制 | 安全功能快速二开 |
客户可以根据需求定制邮件系统安全管理策略与方案,本篇介绍TurboEx安全特性功能(二):防攻击防盗号防伪装邮件。
1、密码安全控制
在TurboEx邮件系统中,通过对密码长度的限制、定期修改密码、校验密码复杂度等措施,紧紧的把守住密码安全这道企业门户。
TurboEx对密码复杂度进行高强度高灵活性的控制:多种密码加密方式(md5、sm3、rsa等)、密码最少位数要求、密码复杂度(可要求同时存在大小写/要求有符号/允许最长同类型连续字符等)、修改密码时可要求校验老密码;用户修改密码需要校验短信验证码;postmaster账户修改用户密码时需要安全校验、密码有效期、设置不允许使用的密码等。
系统管理员通过启用密码安全控制,可以强制用户在第一次登录系统时修改密码,防止被别人侵入账号,并设置密码更改周期,一旦用户在所设周期内没有修改密码,账号将被锁定,用户需要找管理员申请解除账号。通过这些措施,可以极大的提高用户密码安全意识。
2、检查用户密码安全度
管理员在运维后台查找使用常用简单密码的账户,以便及时要求他们更换为符合要求的复杂密码。
3、防暴力破解安全控制
暴力破解一般是通过枚举的方法,根据密码库进行碰撞尝试登录,TurboEx通过监测SMTP方式的登录行为实现防止暴力破解,如下图:
通过监测pop3/imap4/webmail方式的登录行为实现防暴力破解,如下图:
登录账号锁定后,管理员可进行单独解锁和查看。
与此同时,用户登录邮箱时可以通过动态验证码、手机短信验证码等方式保护账户安全。
4、连接频率控制
用户邮箱被利用发送垃圾邮件后,总是会在一定的时间频率频繁发送邮件体积大致相同的垃圾邮件,根据垃圾邮件的发送特点,TurboEx邮件系统会自动扫描用户发邮件状况,在检测到有用户可能正在频繁发送垃圾邮件时,自动锁定该账号的SMTP外发功能,及时堵截垃圾邮件的发送,保障其他用户邮件的正常收发。
1) SMTP连接控制
2) POP3连接控制
3) IMP4连接控制
系统通过检测用户定期发送邮件的频率和邮件大小的情况,来判定用户账号是否已被利用来发送垃圾邮件。一旦判定用户已被利用发送大量垃圾邮件,该用户账号的SMTP外发功能将被锁定,该用户需要向管理员申请解锁并修改邮箱密码。
通过对全方位不同发送协议的连接和发送频率进行控制,在实现整体防控同时,也能根据不同应用特点单独灵活调控,实现精细化管理,最大可能防止误拦截。
5、外发邮件使用反垃圾引擎
TurboEx邮件系统的反垃圾引擎使用沙箱技术,可通过多层次多项目的拦截机制,实现进出邮件的双向垃圾邮件分析,在对进入本系统的邮件检查是否是垃圾邮件的同时,也对系统用户外发的邮件进行检查分析是否为垃圾邮件,TurboEx突出的优势是可对附件内容和压缩附件内容进行检查,对邮件中的图片内容分析检查,使垃圾邮件的判断准确率显著优于同类型产品。
当TurboEx对外发邮件判断为垃圾邮件时,本系统会发送“外发垃圾邮件提示”给该用户,及时提醒用户邮箱存在异常使用。同时,若外发垃圾邮件达到设定次数,将自动锁定该用户邮箱账号的SMTP服务,避免继续外发垃圾邮件,但不影响用户使用Webmail收发,因为盗号情况都发生在SMTP协议下的群发。此举可在启动系统自动化防范盗号功能时,最大程度减少对用户正常使用邮件的影响。
锁定例子
系统管理员postmaster登录后台管理>>安全管理>>发邮件锁定管理
一旦用户邮件账户被锁定,该用户将不能在邮件客户端如outlook、foxmail等使用该邮件账户发送邮件。此时邮件客户端会提示:
系统管理员可根据实际情况,设置“外发垃圾邮件锁定数”,以及外发垃圾邮件提醒邮件的内容。用户被锁定后,需要向管理员申请解锁并修改邮箱密码。
6、防伪装邮件钓鱼邮件
钓鱼邮件一般是伪装成内部用户来群发危险的钓鱼邮件,用户看到邮件后往往难以识别真伪,TurboEx的防伪装技术通过检测来源地址、邮件发送行为和标准邮件编码的特征对比进行验证,拦截伪装邮件,防止因钓鱼邮件攻击对用户和单位造成损失。
7、防邮件内容链接非法访问
邮件内容检测并不能完全阻拦存在非法访问的邮件,为加强防范邮件内容中潜在的风险,TurboEx支持过滤掉邮件内容中存在非法访问的脚本、链接等内容,如下图:
即使有漏网之鱼,通过自动删除邮件中存在的链接,能有效杜绝存在非法访问站点的可疑邮件带来的风险。
8、漏防情况的进一步处理
垃圾邮件发送技术也在更新,如果反垃圾预防措施有漏防,邮件服务器已经被垃圾邮件发送者入侵,并被转发大量垃圾邮件,可以采取进一步操作第一时间解决问题。
登录TurboEx邮件系统后台管理,进入系统运维→队列查看→邮件处理队列。
可以看到当前系统队列中正在排队发送的邮件有416封,通过列表查看可以发现大部分邮件的发件人都是来自同一个账号HKIDR,通过邮件详情可以看到邮件内容,确认是否是垃圾邮件,如是垃圾邮件则该账号的密码已经被盗,并被利用了。正常的服务器队列,只有几十封,最多几百封邮件。
解决方法:找出被盗的账户名称,修改账户密码,尽量提高密码的复杂度,防止再次被破解密码,按照条件快速检索邮件并删除该账户在服务器队列里的所有邮件即可将异常邮件从队列清楚,快速恢复用户收发邮件业务。
邮件系统后台能快速查看当前正在处理的邮件队列,并能进行快速定位和删除,也是邮件系统管理能力体现之一。在该过程中正常邮件是存在队列中,不影响用户的收发使用。
未完待续,下期介绍TurboEx安全特性功能(三):多维度安全访问控制,敬请期待。
