高校自建郵件系統的賬戶安全管理優化研究①

王露陽,羅國富

(南京農業大學 圖書與信息中心,南京 210095)

電子郵件作為一項重要的信息載體,是高校師生進行教學互動、學術交流等的重要途徑.隨著電子郵件服務應用的日益廣泛和數據價值的增加,電子郵件賬戶和數據的安全管理成效,已成為體現電子郵件服務質量的重要方面.目前大部分高校都有屬于自己高校的自建郵件系統,因其具有提高辦公效率、增強數據安全、提升單位形象、應用及管理靈活、可進行個性化定制等優點[1].但高校自建的郵件系統在維護管理上仍存在不可忽視的問題,其所有的安全管理都需要使用單位自行完成,系統提供的安全保障服務有限,同時與廠商服務的耦合度較高,包括軟件設備的升級等.因此系統維護對運維人員得要求較高,需投入的工作量也較大.此外,垃圾郵件泛濫、賬戶被盜頻繁等問題也比較突出.

1 常見的電子郵件安全問題

當一封電子郵件被發送時,信息被一個服務器接一個服務器地傳遞,一直傳到收件人的電子郵件服務器.從發送到接收的過程,可以描述為圖1[2].

圖1 Internet郵件傳輸示意圖

信息先被發送到MTA(即郵件傳輸代理),經過若干MTA后,最終到達收件人的MTA.接下來收件人的MTA會將電子郵件投遞給MDA(即郵件投遞代理),MDA存儲郵件并等待收件人檢查信箱[3].在這個過程中,郵件可能受到的安全威脅大體可以總結為以下幾點[4]：

1)電子郵件數據安全：包括電子郵件數據、賬戶信息、通訊錄等.不法分子通常采用口令攻擊、零日漏洞攻擊[5]、社會工程學等方式來獲取這些數據,獲得權限.

2)電子郵件的應用安全：正常的電子郵件業務應保證暢通傳 用的方法即建立電子郵件網關、設置電子郵件出入站抵擋電子郵件和病毒郵件的侵擾.

3)支持電子郵件應用的服務和協議層面的安全：確保郵件傳輸和收取過程的安全.

4)電子郵件安全基礎設施：如防火墻、電子郵件網關等支撐電子郵件運行的設施[6].

針對郵件系統面臨的不同維度的潛在威脅,近年來一直有學者致力于探索和構建更安全實用的郵件系統的方法,如Balakrishnan S等提出了一種基于無證書密碼機制的安全郵件系統實施方案[7],柏宗超等提出了基于DANE的安全郵件系統架構的研究進展[8].

在諸多安全問題中,賬戶安全背后隱含的問題不僅僅是數據和隱私的泄露,還存在賬戶失竊后淪為垃圾郵件中轉站的副作用.垃圾郵件是郵件系統面臨的最常見也最老生常談的問題之一,得益于機器學習和自然語言處理相關理論與技術的迅猛發展,其在垃圾郵件分類和檢測領域的應用日漸深入,目前也有了較多進展.學者們基于相關理論提出了如基于花朵授粉尋優算法進行特征提取的垃圾郵件檢測方法[9]、基于多級神經網絡的垃圾郵件過濾方法[10],基于word-order preserving CNN網絡模型的垃圾郵件檢測方法[11]等.

本文著重針對自建郵件系統郵件數據安全中的賬戶安全管理展開研究,在自建郵件系統自身具備的安全管理與反垃圾能力之外,積極從運維與管理角度挖掘可優化的環節與輔助手段.

2 我校電子郵件安全管理的現狀

我校電子郵件安全問題中,最突出的是賬戶被盜問題.當郵件帳戶被不法分子盜用時,信息和隱私即面臨失竊風險,賬戶還會淪為垃圾郵件中轉站,嚴重時則導致系統發信IP被反垃圾組織列黑,發信受阻的同時,學校形象也受損害.因此,完善的安全保障策略和及時捕捉并控制異常行為的能力是賬戶安全管理的關鍵.

南京農業大學采用的是Coremail XT v5.0 自建郵箱系統,其webadmin后臺管理系統針對電子郵件的安全管理主要涉及以下方面[12]：

1)用戶登錄行為安全防護：多層次密碼策略功能、Web端異常IP登錄提醒.

2)郵件收發安全管控：反垃圾反病毒防護、郵件監控和審核功能、郵件加密功能等.

3)郵件數據傳輸安全防護：即通過CMTP私有協議對郵件內容進行加密和重新編碼.

4)郵件信息管理：采用管理員、郵件審計員和安全監察員分權操作的業務管理模式,部門間各司其職,郵件歸檔系統可真正安全的應用起來.

雖然上述安全策略相對完善,但在運維工作的輔助決策和管理功能上,后臺管理系統仍存在以下不足：

1)webadmin上大量統計數據無法可視化,例如賬戶被異常登陸的記錄、退信量排名等信息無法以直觀形式呈現；

2)各類投遞日志可供查詢的記錄總數僅限匹配條件后的最新500條,在需要時,無法完整詳盡地供管理員查閱；

3)異常事件出現時沒有告警信息,不具備主動監控能力和自處理能力.

綜合上述問題,自建電子郵件系統的管理,目前在依靠人工管理和干預之外,仍缺乏高效的輔助手段來提升運維效率,尤其在發生賬戶被盜、大量退信、投遞延時增大等影響收發信業務的異常情形時,無法輔助運維人員做出及時的響應.同時隨著用戶數和數據量的不斷增加,單靠人工已經無法滿足管理上的要求,因此,運維自動化作為一種高效的管理手段得到了日漸廣泛的研究和應用,本文借鑒運維自動化的思路,在賬戶安全管理的優化上做了相應的探索和實踐.

3 賬號安全管理優化方案的提出與實現

針對我校郵件系統存在的賬戶安全管理問題,本文擬遵循一套系統的方案進行整體優化,重點提出一種基于自動化腳本的賬戶狀態監控方法,旨在從以下幾個方面改善賬戶安全問題：(1)從預防角度降低賬戶被盜風險；(2)從狀態監測角度及時發現賬戶被盜事件并作自動處理；(3)從事件分析角度來指導安全防護策略的完善.

3.1 賬戶安全管理的整體思路

(1)密碼策略和登陸行為控制

密碼是確保賬戶安全最直觀的一道防線,具體根據以下幾個角度來完善用戶密碼的管理：

① 密碼強度：提升密碼復雜度,收集完整的弱密碼字典導入禁用列表,定期采用弱密碼檢查工具[7],進行用戶排查并通知整改；

② 密碼有效期：通過設置密碼有效期強制用戶定期修改密碼；

③ 防暴力破解策略：暴力破解[13]的原理就是使用攻擊者構建的用戶名和密碼字典進行枚舉,嘗試是否能夠登錄.理論上來說,只要字典足夠龐大,枚舉總是能夠成功的.目前來說,暴力破解方法的適用性有位數限制,合理的密碼策略能有效地防范暴力破解.由于暴力破解攻擊通常會被寫成一個腳本,啟用IP登陸限制和圖形驗證碼保護一定程度可拉長攻擊間隔,降低被爆破的概率.

(2)基于自動化腳本進行日志分析的賬戶狀態監控方法

賬戶信息失竊是目前我校郵件系統存在的最典型且突出的安全問題,通常賬戶被盜時存在以下典型信號：

① 用戶收到大量退信,但發信卻不是該用戶本人所為；

② 正常郵件延時很大,遠程隊列堵塞了大量郵件；

③ 投遞日志中出現大量主題及大小都一樣的郵件投遞記錄(正常群發郵件除外).

基于上述特征,本文提出一種基于自動化腳本進行日志分析的賬戶狀態監控方法,通過提取日志文件中符合上述特征的信息,來實現賬戶狀態監控,具體在3.2節中進行介紹.

(3)長期未登錄賬號的定期自動清理

對于高校來說,用戶角色主要是教職工和學生,因此每年都存在一定數量的學生畢業離校以及教職工離職或退休的情況,因此,離校人員的賬戶管理,也是確保電子郵件賬戶安全的重要一環.為避免這些賬戶因長期未登錄而成為暴力破解攻擊的脆弱對象,需對其進行定期清理.目前webadmin管理后臺上可根據未登錄截止時間進行相關用戶統計,但是最多可查詢500條記錄,為實現相關賬戶的完整統計,本文借助coremail郵件服務器上提供的用戶管理工具/home/coremail/bin/userutil,調用其中--get-user-attr和--set-user-attr命令,通過指定user、lastdate(用戶末次登陸時間)、user_status(用戶狀態)等關鍵字的值過濾出符合條件的所有記錄.這里user_status有0、1、4三種值,分別代表當前帳戶狀態為正常、停用、鎖定.比如要過濾出末次登陸時間截至2016-08的賬戶,可使用如下命令：

/home/coremail/bin/userutil--get-user-attr @ lastdate=|grep-v ‘=$’|grep-v "lastdate=2018"|grep-v "lastdate=2017"|grep-v "lastdate=2016-12" |grep-v "lastdate=2016-11" |grep-v "lastdate=2016-10"|grep-v "lastdate=2016-09"

將過濾出的賬戶導入臨時列表,借助--set-userattr命令,對列表中賬戶的user_status值進行重寫,即鎖定或停用相關賬戶.這里,將末次登陸時間作為可配置項寫入配置文件便于讀取,上述其他操作寫成定時執行的bash shell腳本,完成自動定期清理.

(4)online RBL check and monitoring服務的啟用

RBL(Real-time Blackhole List)是反垃圾郵件組織提供的檢查垃圾郵件發送者地址的服務,當郵箱賬戶失竊時,通常也意味著該賬戶極大可能將淪為垃圾郵件中轉站,此時,郵件系統發信IP將面臨因信譽受損而被RBL組織列黑的風險.針對該問題,本文提出利用在線的第三方IP監控服務,實時監控目標IP被RBL收錄的情況并設置告警通知,幫助管理員及時發現異常,便于盡早進行申訴、解禁等處理,以將系統收發信受影響的程度降至最低.

(5)事件分析及防火墻策略的完善

郵件系統后端服務器上的/home/coremail/logs/udsvr.log文件保存了用戶數據和郵件索引等信息,為完成被盜事件的分析與跟蹤,本文基于user信息分析該日志中的異常認證記錄來定位可疑ip,并在郵件服務器上利用iptables工具對其增加訪問控制規則,配合hosts.allow和hosts.deny實現簡單的黑白名單管理.此外,還對郵件服務器設置ssh和telnet方式下的IP連接限制,僅限于部分工作區IP和堡壘機IP訪問.對外部人員啟用堡壘機訪問模式,便于進行運維安全審計,提高并規范內部信息安全管理水平.

3.2 基于自動化腳本進行日志分析的賬戶狀態監控方法

Coremail郵件系統的DA模塊負責郵件投遞、郵件到達提醒、郵件退信處理等業務,郵件系統前端服務器上的deliveragent.log文件會記錄當天的所有投遞日志,每個賬戶的投遞行為和結果都被詳盡地記錄在日志文件中.前文已提到賬戶被盜時,大量系統退信的產生是一個顯著特征,本文從日志分析的角度出發,結合自動化腳本手段,對校內帳戶郵件投遞的退信情況進行讀取與分析,實現賬戶狀態監控.以日志中某一條為例：

T：1647916800(01：20：58)[S：M012cxAAAHMCnVx EXJkA][da：Info] DAH8CgC3vhpzAp1ctlKaAA--.25117S3：from=,to=,channel=dummy,size=86289,delay=0,rcpttype=to,subject=Can memories be transferred with an injection?,state=bounced,id=2,User reject

可以看出,投遞記錄通過若干字段記錄了信件的投遞信息,其中,state字段描述了郵件的投遞狀態,是監控方法關注的重點,字段含義具體如表1所示.

表1 state字段的含義

監控腳本的基本設計思想為：每日定時且多次地以對應時刻的校內用戶即時退信量排名為依據,定義多種參考閾值(包含可疑值和警戒值),以排名第一的退信量與參考閾值做對比,超出不同的閾值時將關聯相應的動作,具體遵循以下流程進行編寫：

1)以njau.edu.cn域內賬戶為維度統計state=bounced的投遞記錄形成退信量排名,將排序后的退信量和賬戶名稱作為鍵值對記入臨時列表L；

2)利用用戶管理工具/home/coremail/bin/userutil中的--get-user-attr $x user_status命令獲得L中賬戶狀態.退信量排名僅針對狀態為“正常”的用戶進行,即根據user_status的值篩選出隊列L中退信量排名前N名的賬戶,并更新隊列L的內容,被鎖定或停用的賬戶不參與篩選；

3)設L中退信量排名第一位的賬戶為accountx,對應的退信量為valuex.對退信量設置閾值T1,T2,若T1=T2,則在郵件通知管理的基礎上,同時將賬戶accountx的user_status值置為4,即對其自動鎖定.

上述3個步驟通過bash shell腳本實現,并用crontab命令配置為定時任務,實現定時監控.T1,T2,N的值可自行定義,其中,T1的值大致定義了一個退信量的可疑值,T2則定義了退信量的警戒值,N為選取的告警賬戶數量.退信量僅達可疑值時,系統給管理員發送告警之外,被盜事件的真正確認還須人工核實；而退信量的警戒值通常以一個幾乎可以斷定被盜事件發生的較高數值來定義.這里,監控腳本實現時僅以較嚴格的閾值(T1、T2)和排名第一的退信量做對比進行粗估,一旦有賬戶“觸線”即發送告警或鎖定,通常可快速“捕獲”異常度最高的賬戶,而排名靠后的賬戶也可較快得到管理員的關注,以此發揮主動監控和輔助決策的作用.

3.3 案例與評價

南京農業大學使用Coremail XT v5.0版本的郵件系統,其服務器采用的操作系統版本為Linux version 2.6.32-431.el6.x86_64(mockbuild@c6b8.bsys.dev.centos.org)(gcc version 4.4.7 20120313(Red Hat 4.4.7-4)(GCC)).實踐中bash shell腳本的參數取值如下：N=10,T1=30,T2=150.用crontab命令將腳本配置為定時任務,crontab可自行安裝,腳本執行頻率也可按需自定義.本文以每小時一次的頻率執行腳本,配置如圖2框線內容所示.

當有賬戶退信量達到設定閾值時,管理員即可接收到主題為“Discover”的告警郵件,郵件正文會注明是否存在被鎖賬戶,異常賬戶和鎖定提示如圖3框線內容所示.

管理員可基于告警郵件內容在webadmin上查詢投遞日志詳情進行核實.以用戶zfpk@njau.edu.cn為例,投遞日志部分截圖如圖4所示,可見該用戶確實因被盜而發送了較多主題類似的垃圾郵件.

圖2 定時任務配置信息

圖3 告警郵件樣例

圖4 退信異常賬號的投遞記錄

隨后,同樣基于日志分析的思想,管理員可通過“user password error”關鍵字及 user信息,從 udsvr.log日志中定位出疑似暴力破解行為發生的問題IP,如圖5框線內容所示.

圖5 被盜賬戶登錄認證時的錯誤信息

定位到問題IP后,在防火墻策略中將其封停即可.

實踐表明,將自動化監控腳本引入管理后,校內賬戶被盜事件如若發生,第一時間即可得到管理員的關注,產生較多退信的賬戶將被自動鎖定,實現了一定程度上的運維自動化.配合前述多環節的管理優化,校內弱密碼賬戶已基本不復存在,賬戶被盜事件的發生率顯著降低,由于被盜事件的發現率和處理效率的提升,服務器發信IP被列黑的情況極少發生或也能及時申訴得到解禁；而后續防火墻策略的完善,則能較好地維護一個本地黑名單,控制問題IP等對郵件系統的后續威脅,形成類似“閉環”的管理體系.方案整體上提升了用戶體驗,將日常賬戶安全管理中大量的重復性工作,如賬戶末次的登陸時間、退信量、登錄記錄等的查詢與分析工作,由過去的手工執行轉為自動化操作,有效彌補了自建郵件系統被動管理的缺陷.

4 結論

本文針對南京農業大學自建電子郵件系統的賬戶安全管理優化進行了系統的研究和討論,重點將基于日志分析的自動化監控腳本引入管理實踐.管理方法經過整體的優化調整后,賬戶安全性得到提升,賬戶失竊和由其引發的大量外發垃圾郵件的情況得到極大改善.但在賬戶監控方法部分,對觸發告警郵件和賬戶自鎖定的門限參數不具備自適應選取的能力,目前需要根據實際情況手動調整,具有一定的主觀性；同時由于該方法嚴格依賴于退信的產生,因此在退信存在時延的情況下,該方法也無法及時檢出被盜賬戶,這些缺陷需在后續研究工作中繼續完善.總體上,本文提出并實踐的整體優化方案,有效彌補人工干預手段在及時性和主動性方面的欠缺,節省人力成本并提升用戶體驗,這在高校電子郵件系統的管理應用中也具有一定的參考價值和意義.