作者:Coremail管理员社区大咖嘉宾——清华大学 马云龙

电子邮件系统是清华大学最早也是最重要的公共信息服务基础设施之一,建成至今,已成为清华大学师生生活、学习、教学和科研创新发展的信息化关键支撑系统之一。目前清华大学电子邮件系统主要为清华大学教工及学生提供电子邮箱服务,​​域名为mail.tsinghua.edu.cn和mails.tsinghua.edu.cn​​。其中教工域共计开通4万个邮箱,学生域共计开通8.5万个邮箱。平均每月活跃度超过40%。

清华大学:应对二十大保障,邮件系统安全先行_垃圾邮件

从本年度的收件情况统计来看,平均每天接收邮件达到一千万封,其中垃圾邮件占比达到99%,这其中包含大量由于SPF检查或RBL被列黑从而被拒收的邮件,实际到达邮件系统的邮件来看,平均每天接收超过120万封垃圾邮件。其中有4.6%的为恶意邮件-钓鱼邮件,之前还存在少量的恶意邮件-virus邮件的情况。外发邮件检测结果来看,平均每天有超过30%的外发邮件被识别为垃圾邮件。

清华大学:应对二十大保障,邮件系统安全先行_邮件系统_02

鉴于目前的生产系统情况以及信息化重保运行时期要求,尤其二十大保障期间,对于电子邮件系统提出了更严格的安全保障需求。因此不仅需要加强邮件系统安全建设,更需要从邮件系统用户梳理入手,清理、整顿大量已离职和离校用户以及僵尸账号。计划新增安全措施主要如下几点:

1.  双因素认证建设。从近期运行情况看,黑产等组织获取到邮件系统用户密码后不再简单通过smtp发送普通钓鱼邮件,而是有了比较新的变化,通过登陆webmail,获取被盗用户的通讯录,通过收件箱中的某些热点或新通知邮件稍加改造,伪冒一份通知或提醒邮件,发给通讯录中所有收件人。如下截图所示:

清华大学:应对二十大保障,邮件系统安全先行_垃圾邮件_03

这种钓鱼邮件来自相互信任或熟人之间的通信,往往会使得收件人放松警惕,另外收发信人在同系统内,往往会绕过系统层面严格的安全策略,更容易到达对方收件箱。为了应对这种情况,双因素认证部署是比较好的解决方案,用户即使密码被盗,仍然可以保证webmail安全。另外coremail公司对于启用双因素认证用户,系统强制生成一个高强度客户端专用密码,通过客户端暴力crack用户口令的行为基本得到抑制。当然,以上逻辑也会对信息化素养比较薄弱的用户带来使用上的不便,但是为了安全考虑,本人认为还是值得推广应用。

2.  用户清理和电子身份年审工作。本次清理已离校/离职人员及长期未使用的僵尸邮箱为主,共计删除1.7万个教工域邮箱,删除学生域邮箱2.3万个,补充/更新/完善用户信息电子邮箱共计1k多个。通时开展电子身份年审工作,强制用户修改口令,避免一个密码打天下,一个密码用一生的情况。电子身份年审工作可有效降低邮箱密码被盗带来的安全风险。

3.  加强宣传工作。信息安全毕竟是专业性比较强的内容,为了提高校内师生信息安全素养,通过微信公众号推送,雨课堂安全课程学习,各类邮件提醒、安全通知,办公系统发布校级安全提醒通知等多方面举措并行,用户安全素养提高可以大大降低被钓鱼成功的风险。

 

版权声明:本文为清华大学信息化技术中心 马云龙老师的原创文章,文章首发于Coremail云服务中心管理员社区。