我们遇到过被入侵的 Exchange 帐户通过 SMTP 和 OWA 发送恶意电子邮件的问题。
看来许多账户都是通过网络钓鱼攻击被盗用的。我们目前正在部署一些措施来加强对这些账户的保护。
我们现在想研究更主动的方法来检测被盗账户。以下是一些未讨论过的想法:
- 监控外发邮件队列是否存在可疑活动
- 检查 IIS 日志中来自外部 IP 地址的登录
- 限制登录速率(自动锁定帐户?)
- 限制电子邮件速率(自动锁定帐户?)
如果有人实施过类似的事情,您使用过什么技巧或产品吗?您还尝试过哪些其他方法来主动检测被入侵的 Exchange(或 AD)帐户?
答案1
通常,使用集中式日志解决方案可以更好地解决这个问题。这样,您就可以在不影响邮件服务的情况下外包检测和情报。它们的具体实施方式将因您的日志解决方案而异,但任何现代日志收集器都应该允许警报。我见过的最成功的方法是:
- 登录自X国家是小时。您使用的价值观X和是可能会有所不同,但一些常识会占上风。例如,对于美国中部的组织来说,4 小时内到达 2 个国家可能相当安全,但对于靠近欧洲边境的公司来说,可能会更加嘈杂。
- 登录自X内的 IP 地址是分钟。如今,大多数人都会有 2-4 台配置了电子邮件的设备:台式机、笔记本电脑、手机、平板电脑。有的更多,有的更少。这两个值都很大程度上取决于您的用户群。一个好的起点可能是 3 台设备和 10 分钟。
- 登录X来自 1 个 IP 地址的用户。在这里使用 1 对 1 通常很好。请记住这一点将要如果您有配置为单独帐户的共享邮箱,并且它们配置为作为单独的用户。如果您有 VPN 或代理,您也会经常看到这个标志。因此请准备好将系统列入白名单。
请记住,防止恶意方访问受感染帐户的最佳方法是首先不允许访问您的邮件系统。如果您可以限制组织对 OWA 或 EWS 的访问,并使用 VPN 供外部工作人员使用,那么您就处于很多从一开始就处于更好的位置。