近期遇到部分Exchange客服反馈内部邮箱账号密码被盗,给内部其他同事和外部邮箱发送大量钓鱼和诈骗邮件;对公司造成很大负面影响和经济损失。
为了在遇到此类情况时减少损失,建议可以通过Exchange来限制用户每天和每分钟的发送邮件数量和速率;这样一来,即使用户邮箱密码被盗,在发现问题之前,Exchange自身也会限制住被盗用户的发送数量,避免被黑客无休无止的大批量发送钓鱼、诈骗邮件。
实现原理:
通过Exchange Management Shell命令行新建一条ThrottlingPolicy限流策略,给RecipientRateLimit和MessageRateLimit两个参数赋予一定的值,再给对应用户应用此限流策略即可实现限制用户发送量的效果。
参数说明:
MessageRateLimit:限制用户每分钟可以发送的最大邮件数量,如每分钟内发送的量超过限制,邮件将停留在发件箱,邮件被延迟到下一分钟,并最终被发送成功(只对SMTP协议有效,一般黑客都是采用SMTP协议发送)。
RecipientRateLimit:限制用户24小时内的发送的最大邮件数量,如发送超过限制,将收到超过限额的NDR退信消息或提示。
备注:通讯组(包括动态通讯组)算一个收件人。
设置步骤:
1、打开Exchange Management Shell命令行管理界面,创建一个名称为LimitMessagesSent的新策略规则
例:限制用户每天最大发送量为300封,每分钟最大发送量为10封,则执行以下命令(数值按需修改):
New-ThrottlingPolicy -Name LimitMessagesSent -RecipientRateLimit 300 -MessageRateLimit 10
2、查看新建策略LimitMessagesSent的值是否正确:
Get-ThrottlingPolicy -Identity LimitMessagesSent | FL Name,RecipientRateLimit,MessageRateLimit
3、把刚新建的策略规则LimitMessagesSent应用到需要限制发送量的邮箱用户上
Set-Mailbox -Identity "username" -ThrottlingPolicy LimitMessagesSent
延伸:
应用策略规则LimitMessagesSent到所有邮箱用户
Get-Mailbox -Identity * | Set-Mailbox -ThrottlingPolicy LimitMessagesSent
修改LimitMessagesSent策略规则的每天/每分钟发送量为500和20
Set-ThrottlingPolicy -Identity LimitMessagesSent -RecipientRateLimit 500 -MessageRateLimit 20
查看LimitMessagesSent策略规则中的所有参数值
Get-ThrottlingPolicy "LimitMessagesSent" | FL
删除策略规则LimitMessagesSent
Remove-ThrottlingPolicy -Identity LimitMessagesSent