Come posso rilevare in modo proattivo gli account di Exchange 2010 compromessi?

Abbiamo avuto problemi con account di Exchange compromessi che inviano e-mail malevoli tramite SMTP e OWA.

Sembra che molti di questi conti siano stati compromessi tramite tentativi di phishing in arrivo. Attualmente stiamo implementando qualcosa per stringere la nostra protezione contro quelle.

  • Esegui backup di più account di Exchange senza accesso diretto al server di scambio
  • C'è qualche punto per eseguire SSL e la crittografia per e-mail?
  • Routing di Office 365 di messaggi di dominio interno
  • Consentire al Dipartimento HR di inserire utenti in Active Directory / Exchange anziché IT?
  • Recupero di email da un database di scambio morto
  • C'è un modo per "replay" una cattura di pacchetti di una session smtp allo scopo di eseguire il debug?
  • Ora vogliamo esaminare modi più proattivi per individuare i conti compromessi. Alcuni pensieri non sconvolti:

    • monitoraggio della coda di posta in output per attività sospette
    • verificando l'accesso da indirizzi IP stranieri nei registri IIS
    • tasso di limitazione degli accessi (block automatico dell'account?)
    • limitare la posta elettronica (block automatico del conto?)

    Se qualcuno ha implementato qualcosa di simile, qualunque suggerimento o prodotto utilizzato? In che modo hai provato a rilevare in modo proattivo gli account di Exchange (o AD) compromessi?

    One Solution collect form web for “Come posso rilevare in modo proattivo gli account di Exchange 2010 compromessi?”

    Questo è solitamente qualcosa di meglio risolto utilizzando una soluzione di logging centralizzata. In questo modo è ansible gestire l'individuazione e l'intelligenza senza compromettere i servizi di mailing. Quanto esattamente vengono implementati, variano in modo significativo con la tua soluzione di logging, ma qualsiasi moderatore di log dovrebbe consentire l'avviso. I methods più riusciti che ho visto implementato sono:

    • Accesso da X paesi entro Y ore. I valori utilizzati per X e Y possono variare, ma un buon senso prevalterà. Ad esempio, 2 paesi entro 4 ore sono probabilmente abbastanza sicuri per un'organizzazione negli Stati Uniti centrali, ma possono essere più rumorosi per un'azienda vicino a un border in Europa.
    • Accesso da indirizzi IP X entro i minuti Y. La maggior parte delle persone in questi giorni avrà 2-4 dispositivi con configuration e-mail configurata; desktop, laptop, telefono, tablet. Alcuni di più, alcuni less. Entrambi i valori dipendono fortemente dalla base utente. Un buon punto di partenza può essere 3 dispositivi e 10 minuti.
    • Accesso per gli utenti X da un indirizzo IP. Usando un 1-to-1 è di solito abbastanza buono qui. Tieni presente che questo si spegnerà se hai condiviso le cassette postali configurate come account separato e sono configurati come utenti separati. Se si dispone di una VPN o di un proxy, verranno visualizzati anche questa bandiera. Quindi preparatevi a sisthemes di whitelist.

    Tieni presente che il modo migliore per impedire alle parti dannose di accedere a un account compromesso è quello di non consentire l'accesso al sistema di posta in primo luogo. Se è ansible limitare l'accesso a OWA o EWS alla propria organizzazione, utilizzando un VPN per lavoratori esterni, allora sei in una posizione molto migliore fin dall'inizio.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.