服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何主动检测受感染的Exchange 2010帐户?
Intereting Posts
NetApp Filer作为一个弹性HTTP / S服务器? Windows计算机pipe理/组中的混淆帐户名称 是否有可能升级到终极(从专业)版本的Windows 7,无需重新安装 mod_rewrite REQUEST_FILENAME不包含绝对path iptables -L —>用法:/etc/init.d/iptables {start | stop | restart | condrestart | status | panic | save} 从MySQL升级到MariaDB后,服务器上的内存使用率很高 Exchange 2013电子邮件地址策略SMTP黑屏 瞻博networkingSSG-5子接口vlan路由到互联网 如何在vmware播放器上直接连接两个虚拟机的网卡? 更改主机提供商 在AWS EC2实例上显示的磁盘 – 它来自哪里(在AWS EBS卷中)? 如何让Subversionconfiguration更改生效? 如何杀死Ubuntu的所有进程与Sl stat? 具有两个网桥的KVM虚拟化需要路由以使用每个网桥,如同在KVM中映射的那样 如何通过sendmail \ postfix签名和encryption所有发送的邮件

如何主动检测受感染的Exchange 2010帐户?

我们已经通过SMTP和OWA发送恶意电子邮件的Exchange帐户被泄露的问题。

似乎很多这些帐户都是通过钓鱼攻击企图入侵的。 目前我们正在部署一些东西来加强对这些人的保护。

我们现在想要探索更主动的方式来检测被盗用的帐户。 一些没有被抛出的想法出现了:

  • 监视传出邮件队列的可疑活动
  • 检查IIS日志中的外部IP地址的login
  • 限速login(自动locking帐户?)
  • 限速电子邮件(自动locking帐户?)

如果有人执行了这样的事情,你使用的任何提示或产品? 您还试图主动检测受损的Exchange(或AD)帐户?

这通常是使用集中式日志解决scheme更好地解决的问题。 这样,您就可以在不影响邮件服务的情况下将检测和智能排除在外。 它们的实现方式与日志logging解决scheme的差异很大,但是任何现代日志收集器都应该允许警报。 我见过的最成功的方法是:

  • Y小时内从X个国家login。 您用于XY的值可能会有所不同,但一些常识将占上风。 例如,4个小时内有2个国家可能对美国中部的一个组织来说是相当安全的,但对于欧洲边界附近的一家公司可能会更加嘈杂。
  • Y分钟内从X IP地址login。 大多数人现在将有2-4个设备configuration了电子邮件; 桌面,手提电脑,手机,平板电脑。 多一些,less一些。 这两个值将在很大程度上取决于您的用户群。 一个好的起点可能是3个设备和10分钟。
  • 从1个IP地址loginX个用户。 在这里使用1比1通常是相当不错的。 请记住,如果您将共享邮箱configuration为单独的帐户并将其configuration单独的用户, 则会触发此操作。 如果你有一个VPN或代理,你也会经常看到这个标志。 所以准备好白名单系统。

请记住,防止恶意用户访问被盗用帐户的最佳方式是首先不允许访问您的邮件系统。 如果您可以限制您的组织使用OWA或EWS,那么从一开始就可以使用VPN来实现外部工作。