高校邮箱账号盗用监控及钓鱼邮件检测-上海交通大学

已于 2022-07-19 21:05:52 修改
阅读量3.9k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 教育大咖专栏 文章标签: 运维 日志分析 邮件安全 邮箱系统 账号盗用监控
于 2022-07-19 20:59:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CACTER_S/article/details/125880794
本文关注高校邮件服务中账号盗用和钓鱼邮件的监控问题,提出使用Postfix/Amavisd/Clamd/Spamassassin/Elasticsearch/Logstash/Kibana等开源技术构建解决方案。通过账号行为分析和邮件特征检测,实现对外发SMTP节点和入站邮件的监控,有效提升运维效率和安全性。同时,介绍了日志处理、异常检测的技术难点和校外钓鱼邮件的拦截处置机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以下文章及观点来自上海交通大学网络信息中心 瞿庆海老师,文章首发于Coremail云服务中心管理员社区。原创文章,转载请注明出处。

本文聚焦高校电子邮件服务运维中面临的两大痛点,账号盗用监控和钓鱼邮件检测。希望利用当前流行的开源技术框架(Postfix/Amavisd/Clamd/Spamassassin/Elasticsearch/Logstash/Kibana)搭建可行的解决方案,提升运维效率,减轻运维人员压力。

一、账号盗用监控

1.盗号目标:获取邮箱、网站、银行账号密码
2.盗号手段:钓鱼邮件、木马、钓鱼网站
3.常见行为:继续盗用更多内部账号、向外发送钓鱼邮件
4.检测手段:发现账号异常行为加人工判定

账号盗用监控—外发SMTP节点监控

左上图显示了来自中国大陆以外的通过身份认证的发件IP分时统计数据;

右上图显示了来自上海以外城市的通过身份认证的发件IP分时统计数据;

左下图显示了向校外发送邮件量分时统计数据;

右下图显示了向校外发送邮件状态(Sent/Deferred/Bounced)占比分时统计数据;

账号盗用监控—SMTP认证发信监控

左图显示最近24小时通过身份认证的发件IP地址Top10;

右图显示最近24小时通过身份认证的发件账号Top10;

二、钓鱼邮件检测

 1.常见行为特征:

-批量发送,持续发送

-通过正规邮箱如Gmail/Yahoo/QQ/163发送

-通过肉鸡及专用域名发送

2.常见内容特征:

-仿冒发件人身份,标题及内容多为账号停用、账号备案、容量超限等

-通常包含钓鱼网站链接,要求输入账号密码

-通过附件形式套取账号密码或者植入木马

3.按检测难易程度分类

-低级:大批量,短时间,相同标题,相同发件人,相同发件IP

-中级:多批次,每次少量,发件人或者发件IP相同

-高级:分散发送,IP不相同,发件人不相同、标题不完全相同

钓鱼邮件检测—常见邮箱入站统计 

       左上图显示了最近24小时来自Gmail的发件人排名Top10;

       右上图显示了最近24小时来自Yahoo的发件人排名Top10;

       左下图显示了最近24小时来自163的发件人排名Top10;

       右下图显示了最近24小时来自QQ的发件人排名Top10;

钓鱼邮件检测—入站邮件聚合数据

       左上图显示了最近24小时按校外到达邮件标题统计排名Top10;

       右上图显示了最近24小时按校外到达邮件发件人邮箱统计排名Top10;

       左下图显示了最近24小时按校外到达邮件发件人IP统计排名Top10;

       右下图显示了最近24小时按校外到达邮件退信邮箱统计排名Top10;

三、技术框架简介

1.建立专用松耦合入站邮件网关、邮件外发服务器

Postfix Amavis Clamd Spamassassin

Postfix: 目前最主流的MTA软件,用于接收和发送邮件;

Amavis: 反垃圾邮件引擎;

Clamd: 病毒扫描软件;

Spamassassin: 垃圾邮件综合评分软件;

2.日志集中、数据清洗、数据可视化

Rsyslogd Elasticsearch Logstash Kibana

Rsyslogd 日志服务程序;

Elasticsearch: 分布式反向索引服务程序;

Logstash: 流式日志数据解析转换工具;

Kibana: ElasticSearch可视化工具;

3.批量查询、批量删除

Python + JavaScript + API

技术框架简介—技术难点

1.数据清洗

日志模式匹配:

日志模式匹配:电子邮件原始日志通常由众多进程组成,不同的进程具有不同的日志格式,同时日志中时常会出现异常数据,如非ASCII字符,不完整数据等;

日志事件提取:

日志事件提取: 日志处理的关键任务之一是从分散的日志行中提取完整的邮件传输事件,通常需要用队列ID等关键字进行聚合;

日志中的特殊字符、不规范数据处理:

日志中的特殊字符、不规范数据: 非ASCII字符、BASE64编码后的UTF8及GB2312字符甚至错误编码导致的乱码,最低要求是碰到此类字符时程序不应中断退出;

2.异常检测

一维特征值统计相对容易

一维特征值: 常见的如发件人邮箱、发件人IP、标题等特征值统计,基础日志数据半结构化(导入ELK完成反向索引)以后相对容易实现;

多因子模型存在诸多挑战(样本选择、特征向量、分类算法)

多因子模型: 不同的特征值拥有不同的权重,和已知垃圾邮件/钓鱼邮件样本进行相似性匹配,需要做相应的数据标记以及建模工作;

 

技术框架简介—校外钓鱼邮件拦截处置机制示意图

通过蜜罐邮箱、用户举报、日志分析三大途径发现钓鱼邮件及垃圾邮件,添加黑名单拦截并清理已到达的垃圾邮件;通过日志分析查询已到达的邮件并进行批处理。

以上文章及观点来自上海交通大学网络信息中心 瞿庆海老师,文章首发于Coremail云服务中心管理员社区。原创文章,转载请注明出处。

基于LLM的钓鱼邮件检测实践(含代码)
云上笛暮
10-29 1686
本文以Google colab 环境,基于ollama+gemma2实现钓鱼邮件的分析,代码实现逻辑主要分为以下八步。
基于机器学习的钓鱼邮件监测系统
laoman456的博客
03-14 1070
本项目通过机器学习方法,对邮件文本进行特征提取和分类,构建了一个基础的钓鱼邮件检测系统。优点:自动化程度高,可在一定程度上摆脱传统基于关键字和黑名单的简单规则。缺点:仅使用文本特征,容易受混淆、对抗攻击影响,需要结合更多手段(URL分析、沙箱检测、域名信誉)提升实际防御效果。
内网入口防护-钓鱼邮件检测与治理.pdf
06-15
内网入口防护-钓鱼邮件检测与治理.pdf
【转】钓鱼邮件攻击检测
WangYouJin321的博客
03-07 6999
参考连接: 钓鱼邮件检测 - 简书 钓鱼邮件因此成为APT攻击的重要手法之一,隐藏在电子邮件中的附件中或者url链接中,在一定条件下激活,进行破坏和传播,轻则占用资源、破坏计算机系统部分功能,重则导致重要数据丢失、窃取机密信息,带来巨大的经济损失。 1. 有效内容提取 拿到一封可疑钓鱼邮件,获取邮件里面的数据,并对数据有效整理和提取 发件人邮箱 发件人IP地址 收件人邮箱 收件人IP地址 邮件附件名称 解析邮件头信息 内容中的URL链接 。。。。。。 2. 信誉度分析 在进行可.
AI在网络安全中的应用之钓鱼邮件检测
最新发布
YJ_12340的博客
05-19 1276
为什么写这个呢,源自于我之前在某教培网站留了信息,不出意外的个人信息泄露的飞快,邮箱开始疯狂收到垃圾邮件甚至钓鱼邮件,看着每天的拦截消息,就在想这个拦截机制挺好玩的,拦截器是怎么知道是不是正常邮件呢,结合现在AI有些爆火,于是就学习一下。
钓鱼邮件检测
WangYouJin321的博客
03-04 1223
社工+伪装技术的"钓鱼"邮件检测特征 实体特征: 1.伪装成吸引人感兴趣的邮件,如升值加薪、岗位调动、假期安排 2.批量钓鱼(多接收方)、鱼叉(针对特定用户)、捕鲸(高危用户) 3.涉及敏感信息(银行卡 手机号 等) 4.大部分情况下来自于外网(也有先攻陷内部单个用户邮箱做为肉机的) 5.立马有下载按钮连接、点击回下载或进入不安全网站 6.url高风险(结合威胁情报、dga域名检测) 7.包含恐吓信息,影响用户情绪(欺诈、彩票等) 统计特征: 1.发件人历史邮箱使用行为异常(异常群发邮件、发送时间) 2.建
【应急响应】钓鱼邮件的识别与反制
渗透为止的博客
04-15 1520
常见钓鱼邮件的识别和反制
高校账号盗用监控钓鱼邮件检测
04-20
高校账号盗用监控钓鱼邮件检测
目标检测-智能零售柜商品检测数据集-1000张图-+对应VOC-COCO-YOLO三种格式标签+数据集划分脚本
06-04
### 目标检测技术在智能零售柜中的应用与实践 #### 智能零售柜商品检测数据集概览 在当前快速发展的零售行业中,智能化、自动化成为推动行业发展的重要力量之一。其中,目标检测技术作为计算机视觉领域的一个核心...
qq邮箱怎么发匿名邮件-.docx
09-27
腾讯公司推出的QQ邮箱作为国内主流的电子邮件服务之一,因其便捷的操作和良好的用户体验,拥有庞大的用户群体。然而,在使用电子邮箱的过程中,个人隐私保护和信息安全成为了用户普遍关心的问题。在这种背景下,发送...
采用TurboGate邮件网关防止邮箱盗用
04-07
TurboGate邮件网关作为国内最大的智慧邮件系统TurboMail旗下软件网关产品,针对全球海外邮件收发困境,提出一套完善的邮件中继转发解决方案,开创业内独有的中继云服务,辐射全球,部署在邮件系统外,解决海外邮件...
大连理工大学科技成果——卫星转发器盗用检测技术.pdf
01-05
大连理工大学的科技成果——卫星转发器盗用检测技术,是一项针对卫星通信系统中日益严重的盗用问题而研发的先进技术。随着通信行业的快速发展,卫星通信已成为不可或缺的一部分,然而随之而来的是频带资源的非法占用...
借力AI,助力网络钓鱼邮件检测
山石网科的博客
06-13 1562
利用浏览器的地址栏欺骗漏洞,钓鱼攻击者可以实现在真实的URL地址的情况下伪造任何想要伪造的网页内容,而同时,利用跨域脚本漏洞,实施跨域名或跨页面的网站内容修改,当用户访问URL时,控制用户访问的内容,控制返回一个钓鱼网页的内容。基于大数据的网络钓鱼邮件检测是具有里程碑意义的,新时代背景下,思路聚焦于对网络钓鱼邮件)的特征提取,采用各种机器学习模型、深度学习模型(包括但不限于NLP、CV、推荐等不同领域的神经网络模型),对网络钓鱼邮件)的文本内容特征、图像特征进行二分类建模和预测。
钓鱼邮件测试平台搭建Gophish+EwoMail+DKIM
归零者的博客
06-23 3027
本文采用CentOS7搭建钓鱼邮件测试,本人采用Gophish作为钓鱼邮件测试平台,采用EwoMail搭建邮件服务器,申请域名进行绑定,并配置SPF+DKIM提升邮件评级可信度。
网易邮箱盗用记录
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
06-18 4633
背景早上导出在icloud上导出通讯录操作时,执行解除手机的双重验证功能,需要输入验证邮箱,就输入另一个2007年注册的邮箱帐号,登录该邮箱查看验证码的时候,发现该邮箱有大量退信邮件高达3000多封。 查看帐号登录信息,正好是昨天到今天凌晨4点期间,帐号有异常登录。异常登录都是通过POP3方式,不知道这是否跟我设置了邮箱的POP3服务有关,前段时间因为项目中的邮箱服务功能,开启了该帐号的POP3服
钓鱼邮件检测(本科毕设)
weixin_30457065的博客
05-17 1489
做了一个多月的毕设,《钓鱼邮件检测方法的设计与实现》。 主要参考的是12年南邮学报上发的的一篇论文《基于文本特征分析的钓鱼邮件检测》,说是说基于文本特征分析,其实就是用机器学习的方法实现钓鱼邮件检测。 主要实现流程为:钓鱼邮件特征选择;编写特征提取算法;编写机器学习分类器的训练算法代码和检测代码;对模型进行测试。 特征选择: 特征的选择参考的是上述论文中选择的特征,再通过自己的分析修改了...
【免费下载】 PhishMailer: 构建钓鱼邮件检测的强大工具
gitblog_00020的博客
04-25 1347
PhishMailer: 构建钓鱼邮件检测的强大工具 在网络安全领域,防范钓鱼邮件是至关重要的任务。PhishMailer 是一个开源项目,它为开发者和安全研究人员提供了一个强大的平台,用于检测和分析潜在的钓鱼邮件,从而提高网络安全性。通过利用先进的技术和易用的接口,PhishMailer使得非专业用户也能轻松应对钓鱼攻击。 技术分析 PhishMailer 采用以下关键技术: 邮箱解析器:它...
记一次对钓鱼邮件的分析
热门推荐
Sp4rkW的博客
02-24 1万+
0x01、前言 前几天收了个钓鱼邮件,由于一直有各种事情,没有做完整的分析,趁着周末,理了理分析思路,整理一篇博客与大家分享 事情是这样的,突然qq邮箱收到一个来源自我的一个群发的通知。至于为什么发现是钓鱼邮件: 哎,这年头还有几个群有事情通知用qq邮件,不都是群公告么? 发邮件就发邮件,有几个邮件后面带这种怪怪符号的? download附件中的这个html文件,直接使用txt打开。用vsco...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值