反垃圾反钓鱼防盗号：教育大咖圆桌论坛共商邮件校园安全策略

5月18日，Coremail•教育邮件安全圆桌直播举办，Coremail作为国内TOP级邮件系统厂商，服务超过上百家所高校，特邀各重磅嘉宾参与圆桌论坛。

出席嘉宾包括清华大学信息化技术中心高级工程师马云龙、上海交通大学网络信息中心工程师瞿庆海、复旦大学信息化办公室安全中心工程师徐艺扬、Coremail CTO VP林延中Tim、Coremail邮件安全产品经理覃开源、Coremail邮件安全解决方案专家刘骞。

直播中嘉宾们都分享了哪些内容？一起看看吧！

教育行业邮件安全趋势与防护方案

纵观教育行业的邮件安全趋势，形势不容乐观。

根据CAC邮件安全大数据中心的数据显示，2021年教育行业邮箱用户外发邮件中，只有38%是正常邮件，而普通垃圾邮件占比48%。Coremail邮件安全解决方案专家刘骞对此表示，通常一旦出现盗号，就会大量外发垃圾邮件，外发垃圾邮件占比高这也说明了2021年教育行业盗号数量较多。

进一步查看防暴卫士监测的盗号相关数据，发现针对教育行业的暴力破解更是泛滥，3月份呈现爆发式增长高达5亿多次，且大部分攻击IP在国内，攻击次数以亿进行计数。

从受攻击域名而言，2022年Q1高危账号总数量的TOP20（全行业）中，有12个为高校，占比60%。

对于当前教育行业面临的邮件安全威胁，Coremail解决方案专家刘骞基于CACTER邮件安全网关、CAC2.0（防盗号发情报）、安全海外中继与反钓鱼演练-意识教育等产品与服务提出了Coremail账号安全防护体系以及邮件过滤生态防御体系。

教育行业邮箱盗号处置实践与未来展望

严峻态势下，此次圆桌议题聚焦于教育行业的盗号问题。Coremail与各位高校大咖共同探讨了如何处置高校被盗邮箱账号的具体实践与未来展望。

复旦大学徐艺扬老师从高校邮件系统管理员的角度，与大家分享了账号管理经验：

常见黑产攻击

1、根据用户反馈信息（举报、投诉异常邮件）处置，相对来说比较被动。

2、通过兄弟高校共享信息，各高校管理员可以根据可疑IP、可疑账号、恶意邮件等信息主动针对性地排查日志、拉黑攻击账号等，一定程度上能够预防或及时中断攻击。

3、主动进行监测，除了Coremail反垃圾机制外，复旦大学电子邮件系统自行配置了监测脚本，主要对三个方面内容进行监测：每日高频外发情况统计、每日退信情况统计及每日登录失败计数统计等。

除此以外，用户网络安全意识培养也是重要措施。徐老师对复旦大学2021年的反钓鱼演练情况进行了介绍。复旦大学从实际情况出发，对校内师生进行了定制化、针对性的反钓鱼演练，效果显著，有效提高了用户安全意识和恶意邮件辨别能力。

在徐艺扬老师的精彩分享后，上海交通大学瞿庆海老师也从账号盗用、钓鱼邮件检测及技术框架搭建等方面进行了分享。

 

 

瞿庆海老师介绍道，在账号盗用排查上，可使用外发SMTP节点进行监控，更结合了上海交通大学的监测统计局部数据，作为实例，给大家进行讲解。

而针对钓鱼邮件检测，瞿庆海老师也从钓鱼邮件的行为特征、内容特征及检测难易度为大家进行了分类总结

最后，瞿庆海老师毫无保留地介绍了上海交通大学校外钓鱼邮件拦截机制和已到达邮件批量处理的技术框架简介。干货满满，给各大高校带来了更多的解决思路参考。

 

最后，清华大学信息化技术中心高级工程师马云龙老师在前面两位老师经验分享的基础上，给我们提出了一下建议：

1. 要注重邮箱账号生命周期的管理；
2. 清华已有使用负载均衡来动态调整发信地址；
3. 关于黑产攻击的预防和IP封禁，希望可以做到信息共享，利用各家高校以及Coremail作为厂商载体，提供集成的威胁情报和应用

同时，在电子邮件系统保障手段中，马云龙老师也简要介绍了利用负载均衡设备，设置发信地址池与域名地址及收信地址分离，在SPF中增加多段地址作为发信可用地址，当发现发信地址进入RBL中，及时更换，不影响正常发信业务等RBL处理措施。

整场直播介绍下来，各大高校的老师在邮件安全运维上都有自己的独到之处。

复旦大学不仅主动给新生进行钓鱼演练，还自研脚本主动监测。上海交通大学在主动监测之外，准备了蜜罐邮箱，来诱导和捕捉攻击，清华大学也已经开启自动化监测和封禁等安全措施。

而Coremail作为国内TOP级邮件系统厂商，服务超过上百家所高校，反垃圾反钓鱼防盗号上也作出了一些产品上的努力。

Coremail VP林延中介绍道“Coremail本身有托管大规模的企业及高校，这也使得我们的运营平台成为黑产攻击的靶子，相应而言，Coremail也能将黑产针对自身的暴力破解行为、攻击行为、以及邮件收发的退信行为收录到Coremail专属的声誉系统。

CAC2.0不仅集合了自产声誉系统、自产威胁情报，更集合了第三方的一些开源威胁情报，整合成更方便、高效的工具供管理员们使用。

CAC2.0近几个月的工作重点，主要集中在算法调优，降低对账号漏判误判，我们认为对于高危账号必须加以筛选，提取高危账号再告警推送给管理员。否则繁杂的信息将会加大对管理员的运维负担。

未来的工作方向，会对高危账号做一定的自动处置。后续产品迭代后，希望能更好地帮助管理员们。”

Coremail产品经理覃开源补充到“CAC2.0，是在原来CAC1.0（反钓鱼反垃圾）的基础上，进一步增加了防暴力破解、账号异常行为监测与威胁情报推送，希望得到用户更多的反馈与建议，我们将努力把CAC2.0打造成一款更加’得心应手’的邮件安全产品。”