第一,在防范钓鱼邮件上,可以加强Coremail社区、微信群的情报共享利用,对钓鱼邮件的关键词、钓鱼发送源IP形成更快地共享,便于管理员进行封控等操作。
第二,在防范钓鱼邮件上,高校应有众包思想来加快安全情报的迭代,可以考虑借鉴微信的一键式举报功能,鼓励用户举报可疑邮件至集中的情报平台,从举报到封控处理形成快速通道,促使邮件安全数据库高频更新。
第三,夏主任强调,除了提升用户意识及使用邮件安全产品,保护终端用户避免成为黑客的攻击傀儡也是非常重要的,需要规避师生邮箱账号被爆破成功后被劫持发送钓鱼邮件。
这种情况下,可以利用邮件系统的本地日志,如登录频次、发送频次、接收频次等异常特征进行识别处置。对此,Coremail微信群及社区有老师贡献了一些高质量的脚本,也可以提高处置的效率。
最后,夏主任提到,高校邮件系统在科研领域中是非常重要的应用,除了加大对安全设备的购置投入,也需要高校与邮件安全厂商加强协同合作,形成良性循环,促进邮件安全生态环境的良好发展。
观点4:可疑邮件交由用户判断,对自动锁定仍有疑虑
分享专家:李凯 华中科技大学 网络与计算中心工程师
圆桌会上,各高校技术专家畅所欲言,华中科技大学 网络与计算中心工程师李凯也提出了自己的疑虑
“华中科技大学在2017年的时候也购置了某其他品牌邮件安全网关,将可疑邮件归类到缓冲隔离区,但基本交由老师进行判断和放行。
如果由管理员进行审核,遇到的很大一个难点在于,用户会觉得管理员在窥探他的邮件信息,这样会导致我们接到一些投诉。”
基于使用其他品牌网关的经验,李凯老师也建议Coremail邮件网关做一个大类标记功能,比如对于可疑邮件交由老师判断,明确是典型诈骗或病毒的才进行拒收。
对于这个建议,目前Coremail已推出针对教育行业的订阅过滤解决方案。
高校师生普遍有订阅学术期刊的习惯,而订阅类邮件等具有“轻量”垃圾邮件特征。
如果担心订阅类邮件被CACTER邮件安全网关“误拦”,可选择将订阅类邮件打上垃圾邮件的标签直接投递至【邮件系统的垃圾邮件文件夹】。
师生可随时在【邮件系统的垃圾邮件文件夹】找回订阅邮件。
李凯老师的第二个疑虑则是关于异常账号自动锁定,主要担心准确率问题,万一误判自动锁定了高层领导的账号,影响是很大的。
为了规避这类情况,目前华中科技大学采用人工审核的手段。
比如,在监控到某账号每小时外发超过100+,华科大则会单独提取该账号日志,人工审核外发记录,确定有问题才会进行锁定操作。
对于李凯老师提出的疑虑,高校技术专家们进行了更为深入的措施讨论,有兴趣可登录Coremail云服务中心,查看圆桌会完整回放
二、校园邮件暨新技术应用分享
1、Pv6新技术分享
在《新技术在高校安全邮件系统的探索》中,清华大学马云龙老师为观众朋友们介绍了关于邮件系统IPv6的改造经验。
为了更好地分享,马云龙老师后续也将在Coremail管理员社区上传《电子邮件系统IPv6改造客户端测试》的方案。
武汉大学夏主任则为观众们介绍了IPv6的两种技术路线。
第一种是将其理解为外挂的实现,通过反代理在外围进行实现IPv6改造。第二种则是原生的Coremail邮件系统实现不同组件对IPv6进行支持,从而完成整体邮件系统IPv6改造。
关于两位专家的更多技术细节,欢迎各位有兴趣的朋友登录Coremail管理员社区,观看完整回顾。
2、Coremail SOAR新技术分享
本次圆桌会多次谈及盗号问题导致的衍生威胁事件,Coremail也分享了对其最新的课题研究SOAR(安全编排、自动化及响应)。