邮箱安全威胁检测

为什么要做

  • 邮箱443端口直接暴露在公网,会面对各种威胁,管理员主动发现和处理威胁,成为重中之重

几个思路

  • 黑名单机制
  • 威胁发现
  • 客户端问题

黑名单机制

1、手动设置url、用户、ip、客户端版本等黑名单。

  • 例如 KB4536987 漏洞我们可以把 /ecp/default.aspx 设置为黑名单url。
  • admin,root还有管理员账号可以设置为黑名单用户。
  • 一些常用的代码默认agent可以列为黑名单客户端,如go,python等
  • 触发其他黑名单的ip可以自动计入黑名单ip,等等

威胁发现

1、频繁认证失败

  • 每分钟、每5分钟,每小时,每天,每周等时间节点,用户连续认证次数超过阈值的,标记并记录

2、爆破威胁

  • 黑命单url、黑名单username对应的客户端ip,记录为爆破ip,通过爆破ip的请求,记录为爆破威胁,审核准确率和误判率

3、风险发现

  • 每分钟,相同ip出现多个以上用户名,并且认证出现失败的请求(用户名经过域名、后缀等剔除,并且剔除相似度超过80%的),此ip如果近期还有其他用户认证访问失败,记录高危ip,此ip的请求记录为风险请求,审核准确率和误判率

客户端问题

  • 短时间内单个ip+相同客户端发起的大量错误请求,ip没有曾经出现过高危行为,客户端版本是记录过的正常客户端,用户近期有过变更密码的行为,或账号被其他原因锁定。

    会判断为客户端尝试自动登录导致的,helpdesk帮助用户排除客户端问题,审核准确率和误判率