钓鱼对抗之 Coremail安全拦截

news2024/11/22 10:09:33

作者简介:

胡晓磊,男,山东省城市商业银行合作联盟有限公司邮箱管理员,Coremail管理员社区特邀大咖

钓鱼邮件,是一种常见的网络诈骗手段。一般目的是用来欺骗收件人,将账号、口令或密码等信息回复给指定的接收者,或附有超链接引导收件人连接到特制的钓鱼网站或者带毒网页,这些网页通常会伪装成和真实网站一样,令收件人信以为真。钓鱼邮件由于攻击成本低,收益大,被不法分子以及红蓝对抗攻防中红队广泛使用。获取到组织中一个用户的账户密码,已此为跳板,可能会造成整个组织邮件,电话信息泄露,并进一步对组织内的其他用户进行钓鱼诈骗,危害十分严重。

攻击者为绕过邮件系统的安全网关,针对钓鱼邮件进行了各种绕过,伪装。其中最为常见的就是二维码钓鱼,附件WORD文档中嵌入二维码图片,附件嵌入图片,这种攻击方式,普通常见邮件安全网关,邮件分析系统很难做到防御分析,存在被安全绕过的情况。基于此,我们可以通过Coremail自身的安全策略,关键字策略,实现对钓鱼邮件的拦截防护。

基于平常安全监控,运维,我们可以把钓鱼类邮件分为以下几类,并采取相应拦截策略:

  • 补贴诈骗类

 补贴诈骗类主要是通过以劳动补贴和退税等主题给用户发送钓鱼邮件。用户使用手机进行扫描二维码后,自动打开钓鱼网站,钓鱼网站会诱导用户输入自己的银行卡账号和密码等信息。

1.补贴诈骗_主题_丢弃

补+.*贴+.*通+.*知|.*当天未完成视为放弃申领.*|.*薪资补贴到账.*|.*个.*人.*劳.*动.*补贴.*|.*工资补贴.*|.*个.*人.*劳.*动.*补.*贴.*申.*领.*通.*知.*|.*个.*人.*劳.*动.*已.*下.*发.*|.*劳动补贴已下发.*|.*个人劳动津贴.*|.*本月补助通知.*|.*薪资补助下发.*|.*本月补助.*|.*劳动补贴领取.*|.*工薪补助登记.*|.*工薪补助相关材料登记.*|.*生活补贴请查收.*|.*个人所得税资料补充.*|.*个人所得税补贴资料.*

 

  1. 补贴诈骗_附件_丢弃

.*补贴通知.*|.*个人劳动补贴.*|.*薪资补贴.*

  1. 补贴诈骗_正文_丢弃

(补[\s\S]*贴[\s\S]*二维码[\s\S]*)|(补[\s\S]*贴[\s\S]*[附咐][\s\S]*件)​|(补[\s\S]*贴[\s\S]*领取)

  • 钓鱼攻击

攻击者会使用自身服务器进行搭建,通过对一些开源CMS系统代码进行简单修改搭建,从而达到钓取账号密码的效果。

 

  1. 钓鱼_主题_丢弃

.*关于邮箱系统更改.*|.*关于邮箱账户报备.*|.*新邮件系统通知.*|.*启用新邮件系统通知.*|.*邮箱系统提醒.*|.*邮局系统升级备案.*|.*邮箱安全警告.*|.*公司启用新邮件系统通知.*|.*账号停用通知.*|.*您有一条未读邮件.*|.*新的邮件请查收.*|.*was hacked! Change your password now.*|.*电子邮件终止通知.*|.*DHL Consignment Notification To.*|.*Your Password Expires Today.*|.*OA更新提示.*|.*Update Your Mailbox.*|.*邮箱迁移通知.*|.*您的密码即将失效请及时.*|.*管理员通知.*|.*管理员提示.*|.*管理员提醒.*|.*A new invoice is available.*|.*密码今天过期.*|.*OA邮箱提示.*|.*关于bankalliance.com.cn升级扩容的通知.*|.*OA系统邮件.*|.*邮箱安全升级重要公告.*|.*邮箱管理员.*|.*账号暂停.*|.*账户已暂停收发信权限.*|.*系统检测到账户.*|.*您的账户异常登录请及时处理.*|.*未读邮件类别 .*|.*Urgent Account Information.*|.*您的账户异常登陆请及时处理.*|.*保护您的电子邮件帐户.*|.*今天到期,请及时确认.*|.*异地登录提醒.*|.*OA待处理.*|.*邮箱升级.*|.*OA管理提醒.*|.*关于邮服系统个人备案通知.*|.*邮箱系统备案升级.*|.*邮箱外发服务关闭.*|.*邮箱更新通知.*|.*邮箱系统升级备案.*|.*邮箱消息.*|.*OA系统更新.*|.*三日后无法使用.*|.*邮箱系统迁移.*|.*账户异常登录活动.*|.*邮件系统的安全性通知.*|.*电子邮件帐户终止.*|.*邮箱系统升级.*|.*电子邮件终止请求.*|.*您的邮箱存在安全隐患.*|.*您有一条新的邮件.*|.*新的邮件通知.*|.*邮箱过期提醒.*|.*OA系统升级通知.*|.*您的邮箱账户收到可疑邮件.*|.*邮箱账户已暂停使用.*

  1. 钓鱼_正文_丢弃

[\s\S]*邮箱配额通知[\s\S]*|[\s\S]*保持当前密码[\s\S]*

 

  • 广告推广

广告邮件禁止投递

.*HRBP.职.业.培.训.*|.*项目全过程管理控制与实践.*|.*销售渠道建设与管理.*|.*PPT商务设计与呈现技巧.*|.*五星服务:客户服务创新与投诉处理.*|.*4个G内容涵盖了企业各个方面.*|.*代开增值税发.*|.*需要正规普票加微信.*|.*代开普.*|.*鼓励比价的礼品采购.*|.*PPT美化与设计服务.*|.*购买发票加微信.*|.*代.*开.*增.*值.*税.*发.*票.*加.*微.*信.*|.*发票加微信.*|.*.*开.*普.*票.*加.*微.*信.*|.*标杆参访的计划,以及近期公开课安排.*|.*标杆参访的计划,以及近期公开课安排.*|.*如何打造高绩效的研发团队.*|.*我想和你做生意.*|.*需.*要.*普.*票.*加.*微.*信.*|.*开正规普票加微信.*|.*HRBP职业培训.*

    通过设置拦截策略,可实现对绝大部分通用钓鱼的拦截防护,实施具体效果如图:

 

针对邮箱管理员配置建议

  1. 根据Coremail官方解释,丢弃:先把邮件收下来,再把邮件丢弃。(在smtp连接的时候,给发信人回复250 OK,告诉对方邮件已经收到了,之后再把邮件丢弃)这样做的目的是,让对方以为邮件投递成功了,没有退信。拒绝投递:在smtp阶段会给对方返回550,并给对方退信,给出退信的原因。针对钓鱼类邮件主题建议进行丢弃,如拦截攻击者会收到退信原因,从而针对性对邮件进行变化。而广告垃圾邮件对服务器负载会有影响,建议进行拦截。
  2. 安全拦截关键字不是通用,只是作为参考。设置完策略,务必一直对邮件拦截日志进行实施监控,以免正则错误,造成大面积邮件业务拦截影响。
  3. 根据拦截的具体措施,单独设置策略,比如主题,正文,附件分离,如果加多层策略,通过日志无法分析具体是哪条安全策略导致的拦截。
  4. 关键字正文匹配需要谨慎使用,如使用错误,非常容易导致邮件大面积拦截,建议在Coremail技术确认无误情况下,同时每个拦截单独设置策略。

版权声明:本文为山东省城市商业银行合作联盟有限公司胡晓磊先生的原创文章,文章首发于Coremail云服务中心管理员社区。转载请附上原文出处链接及本声明。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/540140.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

(数字图像处理MATLAB+Python)第八章图像复原-第五、六节:盲去卷积复原和几何失真校正

文章目录 一:盲去卷积复原(1)概述(2)程序 二:几何失真校正(1)概述(2)程序 一:盲去卷积复原 (1)概述 盲去卷积复原&#…

Java中的ORM框架有哪些,Hibernate 使用讲解

简介 在Java开发中,使用ORM框架是一种常见的开发方式。ORM(Object-Relational Mapping)框架是一种将对象模型和关系模型进行映射的技术,它使得Java开发人员可以使用面向对象的方式来操作关系型数据库,而无需直接使用S…

拍卖行搜索包分析

《天涯明月刀》的明文包内容大多比较简单,不过也有个别封包的结构较大,分析起来较为复杂,以拍卖行的搜索函数为例。 首先通过send返回到明文包的位置(如图) 这个封包的大小为0x56,随意搜索一个物品的名字使游戏断下(如图) 在这…

Vue 3 脚手架搭建

Vue 3 脚手架搭建 一、环境准备1.1 node.js 安装1.2 包管理工具安装:可选 二、创建项目2.1 使用 npm2.2 使用 yarn 三、配置项目3.1 安装初始依赖3.2 增加依赖3.2 配置自动导包3.3 配置 eslint 规则3.4 .vue 文件导入报错解决 四、路由配置4.1 路由类型定义4.2 inde…

加密解密软件VMProtect入门使用教程(八)控制台版本

VMProtect是新一代软件保护实用程序。VMProtect支持德尔菲、Borland C Builder、Visual C/C、Visual Basic(本机)、Virtual Pascal和XCode编译器。 同时,VMProtect有一个内置的反汇编程序,可以与Windows和Mac OS X可执行文件一起…

【C++初阶】模板

⭐博客主页:️CS semi主页 ⭐欢迎关注:点赞收藏留言 ⭐系列专栏:C初阶 ⭐代码仓库:C初阶 家人们更新不易,你们的点赞和关注对我而言十分重要,友友们麻烦多多点赞+关注,你们的支持是我…

Java应用程序性能调优的秘诀:掌握JVM自带的命令行工具

Java 自带了多个 JVM 调优工具,以下是其中一些常用的工具: 1)jps(JVM Process Status Tool): 用于显示当前系统中所有正在运行的 Java 进程的 PID 和相关信息。 2)jstat(JVM Stati…

常用的表格检测识别方法-表格区域检测方法(上)

常用的表格检测识别方法 表格检测识别一般分为三个子任务:表格区域检测、表格结构识别和表格内容识别。本章将围绕这三个表格识别子任务,从传统方法、深度学习方法等方面,综述该领域国内国外的发展历史和最新进展,并提供几个先进…

ERP、SCM与CRM系统的关系和区别是什么?

在当今数字化时代,企业管理系统扮演着至关重要的角色,而ERP、SCM和CRM系统是其中三个核心组成部分。 虽然它们都在企业管理中发挥着关键作用,但它们各自的功能和应用领域存在一些区别。 我们先来看看,ERP、SCM与CRM系统分别是啥…

张驰咨询:突破瓶颈降低成本-精益生产咨询的实践策略

在现代企业运营中,提高效率、优化流程是实现成功的关键因素之一。为了帮助企业在这方面取得突破性的进展,精益生产咨询成为了一种备受推崇的方法。本文将介绍精益生产咨询的基本原理、优势以及如何将其应用于企业实践中。 精益生产咨询是一种源于丰田生…

软考- 受限双端队列出队顺序--后面有历年真题

前提:栈和队列 栈: 先进后出 队列:先进先出 对于元素1,2,3,4按照顺序进出栈和队列时: 对于入栈,出栈时: 可以进一个元素,出一个元素: 能得…

基于MATLAB的车牌识别系统+GUI界面的毕业设计(完整源码+课题报告+说明文档+数据)

文章目录 1. 前言2. 实现步骤1)颜色信息提取2)倾斜校正3)字符分割4)字体识别5)语音播报6)存储数据 3. 效果展示4. 总结5. 完整源码下载 1. 前言 近年来,随着交通现代化的发展要求,汽车牌照自动识别技术已经…

网络安全实验——web安全

目录 实验目的 实验原理 实验内容 实验1 1. 地址栏中执行脚本 2. 对DOM技术的利用 实验2 1.jump1 2.jump2 3.get 4.xss 5.注册bss 6.盗取cookie 7.分析cookie 实验3 一.搭建IIS服务器 二.身份验证和权限设置 三.IP地址和域名限制 四.安全通信 五. 单点登录 …

《终身成长》笔记四——如何面对失败

目录 经典摘录 秉性 一个英雄具备的所有特质 ​编辑 什么是成功 什么是失败 掌控成功 领导力与固定型思维模式 成长型思维模式领导者的行为 害羞 经典摘录 秉性 天才们,因为自己拥有的优势而得意忘形,不去学习如何努力奋斗以及如何面对挫折。…

Win10系统开机使用一段时间会变成蓝屏怎么办?

Win10系统开机使用一段时间会变成蓝屏怎么办?最近有用户在使用电脑的时候遇到了一个问题,当自己开机使用了一段时间之后,电脑就会变成蓝屏无法操作,导致自己的使用中断了。如果经常出现这样的问题,那么就需要去进行电脑…

图解LeetCode——141. 环形链表

一、题目 给你一个链表的头节点 head ,判断链表中是否有环。 如果链表中有某个节点,可以通过连续跟踪 next 指针再次到达,则链表中存在环。 为了表示给定链表中的环,评测系统内部使用整数 pos 来表示链表尾连接到链表中的位置&a…

使用jsDelivr和GitHub,上传本地静态资源到免费CDN

目标:将本地图片资源上传到免费CDN,以便随时使用!其他静态资源亦可,例如:js、css、pdf、word、excel 等等 ①在github上创建新仓库:resources,用于存放要上传到 CDN 的静态资源: ②上…

成都欢蓬信息:抖音电商去年GMV增速超80%

在今年的抖音电商生态大会上,抖音电商交出了年度“成绩单”。 5月16日,抖音电商总裁魏雯雯披露,近一年抖音电商GMV(成交额)增幅超80%。其中,商城GMV同比增长277%,电商搜索GMV同比增长159%&#…

NAVICAT 自动备份数据库到本地

1:设置备份文件存储路径地址 右键数据库连接 ——》编辑连接——》高级 2:选择要备份的数据库 点击 备份——》新建备份——》对象选择 ——》保存 输入文件名称 ——》确定 备份 下出现 保存的备份文件 3:设置自动备份 点击 自动运行——》新建批处理作业 点击 新建…

家电回收APP小程序开发 上门回收旧物管理专家

家用电器使我们日常生活中必不可少的用品,随着使用年限的增加,可能会出现老化问题,人们买了新的之后,废旧电器的处理也成为一大难题。笨重不易移动,扔了可惜,放置占地,该怎么办呢?废…