王露陽,羅國富

(南京農(nóng)業(yè)大學(xué) 圖書與信息中心,南京 210095)

電子郵件作為一項(xiàng)重要的信息載體,是高校師生進(jìn)行教學(xué)互動(dòng)、學(xué)術(shù)交流等的重要途徑.隨著電子郵件服務(wù)應(yīng)用的日益廣泛和數(shù)據(jù)價(jià)值的增加,電子郵件賬戶和數(shù)據(jù)的安全管理成效,已成為體現(xiàn)電子郵件服務(wù)質(zhì)量的重要方面.目前大部分高校都有屬于自己高校的自建郵件系統(tǒng),因其具有提高辦公效率、增強(qiáng)數(shù)據(jù)安全、提升單位形象、應(yīng)用及管理靈活、可進(jìn)行個(gè)性化定制等優(yōu)點(diǎn)[1].但高校自建的郵件系統(tǒng)在維護(hù)管理上仍存在不可忽視的問題,其所有的安全管理都需要使用單位自行完成,系統(tǒng)提供的安全保障服務(wù)有限,同時(shí)與廠商服務(wù)的耦合度較高,包括軟件設(shè)備的升級(jí)等.因此系統(tǒng)維護(hù)對(duì)運(yùn)維人員得要求較高,需投入的工作量也較大.此外,垃圾郵件泛濫、賬戶被盜頻繁等問題也比較突出.

1 常見的電子郵件安全問題

當(dāng)一封電子郵件被發(fā)送時(shí),信息被一個(gè)服務(wù)器接一個(gè)服務(wù)器地傳遞,一直傳到收件人的電子郵件服務(wù)器.從發(fā)送到接收的過程,可以描述為圖1[2].

圖1 Internet郵件傳輸示意圖

信息先被發(fā)送到MTA(即郵件傳輸代理),經(jīng)過若干MTA后,最終到達(dá)收件人的MTA.接下來收件人的MTA會(huì)將電子郵件投遞給MDA(即郵件投遞代理),MDA存儲(chǔ)郵件并等待收件人檢查信箱[3].在這個(gè)過程中,郵件可能受到的安全威脅大體可以總結(jié)為以下幾點(diǎn)[4]：

1)電子郵件數(shù)據(jù)安全：包括電子郵件數(shù)據(jù)、賬戶信息、通訊錄等.不法分子通常采用口令攻擊、零日漏洞攻擊[5]、社會(huì)工程學(xué)等方式來獲取這些數(shù)據(jù),獲得權(quán)限.

2)電子郵件的應(yīng)用安全：正常的電子郵件業(yè)務(wù)應(yīng)保證暢通傳 用的方法即建立電子郵件網(wǎng)關(guān)、設(shè)置電子郵件出入站抵擋電子郵件和病毒郵件的侵?jǐn)_.

3)支持電子郵件應(yīng)用的服務(wù)和協(xié)議層面的安全：確保郵件傳輸和收取過程的安全.

4)電子郵件安全基礎(chǔ)設(shè)施：如防火墻、電子郵件網(wǎng)關(guān)等支撐電子郵件運(yùn)行的設(shè)施[6].

針對(duì)郵件系統(tǒng)面臨的不同維度的潛在威脅,近年來一直有學(xué)者致力于探索和構(gòu)建更安全實(shí)用的郵件系統(tǒng)的方法,如Balakrishnan S等提出了一種基于無證書密碼機(jī)制的安全郵件系統(tǒng)實(shí)施方案[7],柏宗超等提出了基于DANE的安全郵件系統(tǒng)架構(gòu)的研究進(jìn)展[8].

在諸多安全問題中,賬戶安全背后隱含的問題不僅僅是數(shù)據(jù)和隱私的泄露,還存在賬戶失竊后淪為垃圾郵件中轉(zhuǎn)站的副作用.垃圾郵件是郵件系統(tǒng)面臨的最常見也最老生常談的問題之一,得益于機(jī)器學(xué)習(xí)和自然語言處理相關(guān)理論與技術(shù)的迅猛發(fā)展,其在垃圾郵件分類和檢測領(lǐng)域的應(yīng)用日漸深入,目前也有了較多進(jìn)展.學(xué)者們基于相關(guān)理論提出了如基于花朵授粉尋優(yōu)算法進(jìn)行特征提取的垃圾郵件檢測方法[9]、基于多級(jí)神經(jīng)網(wǎng)絡(luò)的垃圾郵件過濾方法[10],基于word-order preserving CNN網(wǎng)絡(luò)模型的垃圾郵件檢測方法[11]等.

本文著重針對(duì)自建郵件系統(tǒng)郵件數(shù)據(jù)安全中的賬戶安全管理展開研究,在自建郵件系統(tǒng)自身具備的安全管理與反垃圾能力之外,積極從運(yùn)維與管理角度挖掘可優(yōu)化的環(huán)節(jié)與輔助手段.

2 我校電子郵件安全管理的現(xiàn)狀

我校電子郵件安全問題中,最突出的是賬戶被盜問題.當(dāng)郵件帳戶被不法分子盜用時(shí),信息和隱私即面臨失竊風(fēng)險(xiǎn),賬戶還會(huì)淪為垃圾郵件中轉(zhuǎn)站,嚴(yán)重時(shí)則導(dǎo)致系統(tǒng)發(fā)信IP被反垃圾組織列黑,發(fā)信受阻的同時(shí),學(xué)校形象也受損害.因此,完善的安全保障策略和及時(shí)捕捉并控制異常行為的能力是賬戶安全管理的關(guān)鍵.

南京農(nóng)業(yè)大學(xué)采用的是Coremail XT v5.0 自建郵箱系統(tǒng),其webadmin后臺(tái)管理系統(tǒng)針對(duì)電子郵件的安全管理主要涉及以下方面[12]：

1)用戶登錄行為安全防護(hù)：多層次密碼策略功能、Web端異常IP登錄提醒.

2)郵件收發(fā)安全管控：反垃圾反病毒防護(hù)、郵件監(jiān)控和審核功能、郵件加密功能等.

3)郵件數(shù)據(jù)傳輸安全防護(hù)：即通過CMTP私有協(xié)議對(duì)郵件內(nèi)容進(jìn)行加密和重新編碼.

4)郵件信息管理：采用管理員、郵件審計(jì)員和安全監(jiān)察員分權(quán)操作的業(yè)務(wù)管理模式,部門間各司其職,郵件歸檔系統(tǒng)可真正安全的應(yīng)用起來.

雖然上述安全策略相對(duì)完善,但在運(yùn)維工作的輔助決策和管理功能上,后臺(tái)管理系統(tǒng)仍存在以下不足：

1)webadmin上大量統(tǒng)計(jì)數(shù)據(jù)無法可視化,例如賬戶被異常登陸的記錄、退信量排名等信息無法以直觀形式呈現(xiàn)；

2)各類投遞日志可供查詢的記錄總數(shù)僅限匹配條件后的最新500條,在需要時(shí),無法完整詳盡地供管理員查閱；

3)異常事件出現(xiàn)時(shí)沒有告警信息,不具備主動(dòng)監(jiān)控能力和自處理能力.

綜合上述問題,自建電子郵件系統(tǒng)的管理,目前在依靠人工管理和干預(yù)之外,仍缺乏高效的輔助手段來提升運(yùn)維效率,尤其在發(fā)生賬戶被盜、大量退信、投遞延時(shí)增大等影響收發(fā)信業(yè)務(wù)的異常情形時(shí),無法輔助運(yùn)維人員做出及時(shí)的響應(yīng).同時(shí)隨著用戶數(shù)和數(shù)據(jù)量的不斷增加,單靠人工已經(jīng)無法滿足管理上的要求,因此,運(yùn)維自動(dòng)化作為一種高效的管理手段得到了日漸廣泛的研究和應(yīng)用,本文借鑒運(yùn)維自動(dòng)化的思路,在賬戶安全管理的優(yōu)化上做了相應(yīng)的探索和實(shí)踐.

3 賬號(hào)安全管理優(yōu)化方案的提出與實(shí)現(xiàn)

針對(duì)我校郵件系統(tǒng)存在的賬戶安全管理問題,本文擬遵循一套系統(tǒng)的方案進(jìn)行整體優(yōu)化,重點(diǎn)提出一種基于自動(dòng)化腳本的賬戶狀態(tài)監(jiān)控方法,旨在從以下幾個(gè)方面改善賬戶安全問題：(1)從預(yù)防角度降低賬戶被盜風(fēng)險(xiǎn)；(2)從狀態(tài)監(jiān)測角度及時(shí)發(fā)現(xiàn)賬戶被盜事件并作自動(dòng)處理；(3)從事件分析角度來指導(dǎo)安全防護(hù)策略的完善.

3.1 賬戶安全管理的整體思路

(1)密碼策略和登陸行為控制

密碼是確保賬戶安全最直觀的一道防線,具體根據(jù)以下幾個(gè)角度來完善用戶密碼的管理：

① 密碼強(qiáng)度：提升密碼復(fù)雜度,收集完整的弱密碼字典導(dǎo)入禁用列表,定期采用弱密碼檢查工具[7],進(jìn)行用戶排查并通知整改；

② 密碼有效期：通過設(shè)置密碼有效期強(qiáng)制用戶定期修改密碼；

③ 防暴力破解策略：暴力破解[13]的原理就是使用攻擊者構(gòu)建的用戶名和密碼字典進(jìn)行枚舉,嘗試是否能夠登錄.理論上來說,只要字典足夠龐大,枚舉總是能夠成功的.目前來說,暴力破解方法的適用性有位數(shù)限制,合理的密碼策略能有效地防范暴力破解.由于暴力破解攻擊通常會(huì)被寫成一個(gè)腳本,啟用IP登陸限制和圖形驗(yàn)證碼保護(hù)一定程度可拉長攻擊間隔,降低被爆破的概率.

(2)基于自動(dòng)化腳本進(jìn)行日志分析的賬戶狀態(tài)監(jiān)控方法

賬戶信息失竊是目前我校郵件系統(tǒng)存在的最典型且突出的安全問題,通常賬戶被盜時(shí)存在以下典型信號(hào)：

① 用戶收到大量退信,但發(fā)信卻不是該用戶本人所為；

② 正常郵件延時(shí)很大,遠(yuǎn)程隊(duì)列堵塞了大量郵件；

③ 投遞日志中出現(xiàn)大量主題及大小都一樣的郵件投遞記錄(正常群發(fā)郵件除外).

基于上述特征,本文提出一種基于自動(dòng)化腳本進(jìn)行日志分析的賬戶狀態(tài)監(jiān)控方法,通過提取日志文件中符合上述特征的信息,來實(shí)現(xiàn)賬戶狀態(tài)監(jiān)控,具體在3.2節(jié)中進(jìn)行介紹.

(3)長期未登錄賬號(hào)的定期自動(dòng)清理

對(duì)于高校來說,用戶角色主要是教職工和學(xué)生,因此每年都存在一定數(shù)量的學(xué)生畢業(yè)離校以及教職工離職或退休的情況,因此,離校人員的賬戶管理,也是確保電子郵件賬戶安全的重要一環(huán).為避免這些賬戶因長期未登錄而成為暴力破解攻擊的脆弱對(duì)象,需對(duì)其進(jìn)行定期清理.目前webadmin管理后臺(tái)上可根據(jù)未登錄截止時(shí)間進(jìn)行相關(guān)用戶統(tǒng)計(jì),但是最多可查詢500條記錄,為實(shí)現(xiàn)相關(guān)賬戶的完整統(tǒng)計(jì),本文借助coremail郵件服務(wù)器上提供的用戶管理工具/home/coremail/bin/userutil,調(diào)用其中--get-user-attr和--set-user-attr命令,通過指定user、lastdate(用戶末次登陸時(shí)間)、user_status(用戶狀態(tài))等關(guān)鍵字的值過濾出符合條件的所有記錄.這里user_status有0、1、4三種值,分別代表當(dāng)前帳戶狀態(tài)為正常、停用、鎖定.比如要過濾出末次登陸時(shí)間截至2016-08的賬戶,可使用如下命令：

/home/coremail/bin/userutil--get-user-attr @ lastdate=|grep-v ‘=$’|grep-v "lastdate=2018"|grep-v "lastdate=2017"|grep-v "lastdate=2016-12" |grep-v "lastdate=2016-11" |grep-v "lastdate=2016-10"|grep-v "lastdate=2016-09"

將過濾出的賬戶導(dǎo)入臨時(shí)列表,借助--set-userattr命令,對(duì)列表中賬戶的user_status值進(jìn)行重寫,即鎖定或停用相關(guān)賬戶.這里,將末次登陸時(shí)間作為可配置項(xiàng)寫入配置文件便于讀取,上述其他操作寫成定時(shí)執(zhí)行的bash shell腳本,完成自動(dòng)定期清理.

(4)online RBL check and monitoring服務(wù)的啟用

RBL(Real-time Blackhole List)是反垃圾郵件組織提供的檢查垃圾郵件發(fā)送者地址的服務(wù),當(dāng)郵箱賬戶失竊時(shí),通常也意味著該賬戶極大可能將淪為垃圾郵件中轉(zhuǎn)站,此時(shí),郵件系統(tǒng)發(fā)信IP將面臨因信譽(yù)受損而被RBL組織列黑的風(fēng)險(xiǎn).針對(duì)該問題,本文提出利用在線的第三方IP監(jiān)控服務(wù),實(shí)時(shí)監(jiān)控目標(biāo)IP被RBL收錄的情況并設(shè)置告警通知,幫助管理員及時(shí)發(fā)現(xiàn)異常,便于盡早進(jìn)行申訴、解禁等處理,以將系統(tǒng)收發(fā)信受影響的程度降至最低.

(5)事件分析及防火墻策略的完善

郵件系統(tǒng)后端服務(wù)器上的/home/coremail/logs/udsvr.log文件保存了用戶數(shù)據(jù)和郵件索引等信息,為完成被盜事件的分析與跟蹤,本文基于user信息分析該日志中的異常認(rèn)證記錄來定位可疑ip,并在郵件服務(wù)器上利用iptables工具對(duì)其增加訪問控制規(guī)則,配合hosts.allow和hosts.deny實(shí)現(xiàn)簡單的黑白名單管理.此外,還對(duì)郵件服務(wù)器設(shè)置ssh和telnet方式下的IP連接限制,僅限于部分工作區(qū)IP和堡壘機(jī)IP訪問.對(duì)外部人員啟用堡壘機(jī)訪問模式,便于進(jìn)行運(yùn)維安全審計(jì),提高并規(guī)范內(nèi)部信息安全管理水平.

3.2 基于自動(dòng)化腳本進(jìn)行日志分析的賬戶狀態(tài)監(jiān)控方法

Coremail郵件系統(tǒng)的DA模塊負(fù)責(zé)郵件投遞、郵件到達(dá)提醒、郵件退信處理等業(yè)務(wù),郵件系統(tǒng)前端服務(wù)器上的deliveragent.log文件會(huì)記錄當(dāng)天的所有投遞日志,每個(gè)賬戶的投遞行為和結(jié)果都被詳盡地記錄在日志文件中.前文已提到賬戶被盜時(shí),大量系統(tǒng)退信的產(chǎn)生是一個(gè)顯著特征,本文從日志分析的角度出發(fā),結(jié)合自動(dòng)化腳本手段,對(duì)校內(nèi)帳戶郵件投遞的退信情況進(jìn)行讀取與分析,實(shí)現(xiàn)賬戶狀態(tài)監(jiān)控.以日志中某一條為例：

T：1647916800(01：20：58)[S：M012cxAAAHMCnVx EXJkA][da：Info] DAH8CgC3vhpzAp1ctlKaAA--.25117S3：from=,to=,channel=dummy,size=86289,delay=0,rcpttype=to,subject=Can memories be transferred with an injection?,state=bounced,id=2,User reject

可以看出,投遞記錄通過若干字段記錄了信件的投遞信息,其中,state字段描述了郵件的投遞狀態(tài),是監(jiān)控方法關(guān)注的重點(diǎn),字段含義具體如表1所示.

表1 state字段的含義

監(jiān)控腳本的基本設(shè)計(jì)思想為：每日定時(shí)且多次地以對(duì)應(yīng)時(shí)刻的校內(nèi)用戶即時(shí)退信量排名為依據(jù),定義多種參考閾值(包含可疑值和警戒值),以排名第一的退信量與參考閾值做對(duì)比,超出不同的閾值時(shí)將關(guān)聯(lián)相應(yīng)的動(dòng)作,具體遵循以下流程進(jìn)行編寫：

1)以njau.edu.cn域內(nèi)賬戶為維度統(tǒng)計(jì)state=bounced的投遞記錄形成退信量排名,將排序后的退信量和賬戶名稱作為鍵值對(duì)記入臨時(shí)列表L；

2)利用用戶管理工具/home/coremail/bin/userutil中的--get-user-attr $x user_status命令獲得L中賬戶狀態(tài).退信量排名僅針對(duì)狀態(tài)為“正常”的用戶進(jìn)行,即根據(jù)user_status的值篩選出隊(duì)列L中退信量排名前N名的賬戶,并更新隊(duì)列L的內(nèi)容,被鎖定或停用的賬戶不參與篩選；

3)設(shè)L中退信量排名第一位的賬戶為accountx,對(duì)應(yīng)的退信量為valuex.對(duì)退信量設(shè)置閾值T1,T2,若T1=T2,則在郵件通知管理的基礎(chǔ)上,同時(shí)將賬戶accountx的user_status值置為4,即對(duì)其自動(dòng)鎖定.

上述3個(gè)步驟通過bash shell腳本實(shí)現(xiàn),并用crontab命令配置為定時(shí)任務(wù),實(shí)現(xiàn)定時(shí)監(jiān)控.T1,T2,N的值可自行定義,其中,T1的值大致定義了一個(gè)退信量的可疑值,T2則定義了退信量的警戒值,N為選取的告警賬戶數(shù)量.退信量僅達(dá)可疑值時(shí),系統(tǒng)給管理員發(fā)送告警之外,被盜事件的真正確認(rèn)還須人工核實(shí)；而退信量的警戒值通常以一個(gè)幾乎可以斷定被盜事件發(fā)生的較高數(shù)值來定義.這里,監(jiān)控腳本實(shí)現(xiàn)時(shí)僅以較嚴(yán)格的閾值(T1、T2)和排名第一的退信量做對(duì)比進(jìn)行粗估,一旦有賬戶“觸線”即發(fā)送告警或鎖定,通?？煽焖佟安东@”異常度最高的賬戶,而排名靠后的賬戶也可較快得到管理員的關(guān)注,以此發(fā)揮主動(dòng)監(jiān)控和輔助決策的作用.

3.3 案例與評(píng)價(jià)

南京農(nóng)業(yè)大學(xué)使用Coremail XT v5.0版本的郵件系統(tǒng),其服務(wù)器采用的操作系統(tǒng)版本為Linux version 2.6.32-431.el6.x86_64(mockbuild@c6b8.bsys.dev.centos.org)(gcc version 4.4.7 20120313(Red Hat 4.4.7-4)(GCC)).實(shí)踐中bash shell腳本的參數(shù)取值如下：N=10,T1=30,T2=150.用crontab命令將腳本配置為定時(shí)任務(wù),crontab可自行安裝,腳本執(zhí)行頻率也可按需自定義.本文以每小時(shí)一次的頻率執(zhí)行腳本,配置如圖2框線內(nèi)容所示.

當(dāng)有賬戶退信量達(dá)到設(shè)定閾值時(shí),管理員即可接收到主題為“Discover”的告警郵件,郵件正文會(huì)注明是否存在被鎖賬戶,異常賬戶和鎖定提示如圖3框線內(nèi)容所示.

管理員可基于告警郵件內(nèi)容在webadmin上查詢投遞日志詳情進(jìn)行核實(shí).以用戶zfpk@njau.edu.cn為例,投遞日志部分截圖如圖4所示,可見該用戶確實(shí)因被盜而發(fā)送了較多主題類似的垃圾郵件.

圖2 定時(shí)任務(wù)配置信息

圖3 告警郵件樣例

圖4 退信異常賬號(hào)的投遞記錄

隨后,同樣基于日志分析的思想,管理員可通過“user password error”關(guān)鍵字及 user信息,從 udsvr.log日志中定位出疑似暴力破解行為發(fā)生的問題IP,如圖5框線內(nèi)容所示.

圖5 被盜賬戶登錄認(rèn)證時(shí)的錯(cuò)誤信息

定位到問題IP后,在防火墻策略中將其封停即可.

實(shí)踐表明,將自動(dòng)化監(jiān)控腳本引入管理后,校內(nèi)賬戶被盜事件如若發(fā)生,第一時(shí)間即可得到管理員的關(guān)注,產(chǎn)生較多退信的賬戶將被自動(dòng)鎖定,實(shí)現(xiàn)了一定程度上的運(yùn)維自動(dòng)化.配合前述多環(huán)節(jié)的管理優(yōu)化,校內(nèi)弱密碼賬戶已基本不復(fù)存在,賬戶被盜事件的發(fā)生率顯著降低,由于被盜事件的發(fā)現(xiàn)率和處理效率的提升,服務(wù)器發(fā)信IP被列黑的情況極少發(fā)生或也能及時(shí)申訴得到解禁；而后續(xù)防火墻策略的完善,則能較好地維護(hù)一個(gè)本地黑名單,控制問題IP等對(duì)郵件系統(tǒng)的后續(xù)威脅,形成類似“閉環(huán)”的管理體系.方案整體上提升了用戶體驗(yàn),將日常賬戶安全管理中大量的重復(fù)性工作,如賬戶末次的登陸時(shí)間、退信量、登錄記錄等的查詢與分析工作,由過去的手工執(zhí)行轉(zhuǎn)為自動(dòng)化操作,有效彌補(bǔ)了自建郵件系統(tǒng)被動(dòng)管理的缺陷.

4 結(jié)論

本文針對(duì)南京農(nóng)業(yè)大學(xué)自建電子郵件系統(tǒng)的賬戶安全管理優(yōu)化進(jìn)行了系統(tǒng)的研究和討論,重點(diǎn)將基于日志分析的自動(dòng)化監(jiān)控腳本引入管理實(shí)踐.管理方法經(jīng)過整體的優(yōu)化調(diào)整后,賬戶安全性得到提升,賬戶失竊和由其引發(fā)的大量外發(fā)垃圾郵件的情況得到極大改善.但在賬戶監(jiān)控方法部分,對(duì)觸發(fā)告警郵件和賬戶自鎖定的門限參數(shù)不具備自適應(yīng)選取的能力,目前需要根據(jù)實(shí)際情況手動(dòng)調(diào)整,具有一定的主觀性；同時(shí)由于該方法嚴(yán)格依賴于退信的產(chǎn)生,因此在退信存在時(shí)延的情況下,該方法也無法及時(shí)檢出被盜賬戶,這些缺陷需在后續(xù)研究工作中繼續(xù)完善.總體上,本文提出并實(shí)踐的整體優(yōu)化方案,有效彌補(bǔ)人工干預(yù)手段在及時(shí)性和主動(dòng)性方面的欠缺,節(jié)省人力成本并提升用戶體驗(yàn),這在高校電子郵件系統(tǒng)的管理應(yīng)用中也具有一定的參考價(jià)值和意義.