如何主动检测被盗用的 Exchange 2010 帐户？

Question

我们遇到了通过 SMTP 和 OWA 发送恶意电子邮件的受感染 Exchange 帐户的问题。

这些帐户中的许多似乎是通过传入的网络钓鱼尝试而受到损害的。我们目前正在部署一些东西来加强我们对这些的保护。

我们现在想要研究更主动的方法来检测被盗账户。出现的一些非散列想法：

• 监视传出邮件队列的可疑活动
• 在 IIS 日志中检查来自外国 IP 地址的登录
• 速率限制登录（自动锁定帐户？）
• 限速电子邮件（自动锁定帐户？）

如果有人实现了这样的东西，你使用过的任何提示或产品？您还尝试过如何主动检测受损的 Exchange（或 AD）帐户？

Answer 1

这通常是使用集中式日志记录解决方案更好地解决的问题。这样您就可以在不影响邮件服务的情况下进行检测和情报。它们的具体实现方式将因您的日志记录解决方案而异，但任何现代日志收集器都应允许发出警报。我见过的最成功的方法是：

• 在Y小时内从X个国家/地区登录。您用于X和Y的值可能会有所不同，但一些常识将占上风。例如，对于位于美国中部的组织而言，4 小时内到达 2 个国家可能相当安全，但对于靠近欧洲边境的公司而言，可能会更加嘈杂。
• 在Y分钟内从X 个IP 地址登录。如今，大多数人将拥有 2-4 台配置了电子邮件的设备；台式机、笔记本电脑、手机、平板电脑。多一些，少一些。这两个值都将在很大程度上取决于您的用户群。一个好的起点可能是 3 个设备和 10 分钟。
• X用户从 1 个 IP 地址登录。在这里使用 1 对 1 通常非常好。请记住，如果您将共享邮箱配置为单独的帐户并将它们配置为单独的用户，则会触发此操作。如果您有 VPN 或代理，您也会经常看到这个标志。所以准备将系统列入白名单。

请记住，防止恶意方访问受感染帐户的最佳方法是首先不允许访问您的邮件系统。如果你可以限制访问OWA或EWS对您的组织，使用VPN为在外务工，那么你是在一个多从一开始就更好的位置。