为什么要做
- 邮箱443端口直接暴露在公网,会面对各种威胁,管理员主动发现和处理威胁,成为重中之重
几个思路
- 黑名单机制
- 威胁发现
- 客户端问题
黑名单机制
1、手动设置url、用户、ip、客户端版本等黑名单。
- 例如 KB4536987 漏洞我们可以把 /ecp/default.aspx 设置为黑名单url。
- admin,root还有管理员账号可以设置为黑名单用户。
- 一些常用的代码默认agent可以列为黑名单客户端,如go,python等
- 触发其他黑名单的ip可以自动计入黑名单ip,等等
威胁发现
1、频繁认证失败
- 每分钟、每5分钟,每小时,每天,每周等时间节点,用户连续认证次数超过阈值的,标记并记录
2、爆破威胁
- 黑命单url、黑名单username对应的客户端ip,记录为爆破ip,通过爆破ip的请求,记录为爆破威胁,审核准确率和误判率
3、风险发现
- 每分钟,相同ip出现多个以上用户名,并且认证出现失败的请求(用户名经过域名、后缀等剔除,并且剔除相似度超过80%的),此ip如果近期还有其他用户认证访问失败,记录高危ip,此ip的请求记录为风险请求,审核准确率和误判率
客户端问题
- 短时间内单个ip+相同客户端发起的大量错误请求,ip没有曾经出现过高危行为,客户端版本是记录过的正常客户端,用户近期有过变更密码的行为,或账号被其他原因锁定。
会判断为客户端尝试自动登录导致的,helpdesk帮助用户排除客户端问题,审核准确率和误判率