如何主動檢測受損的 Exchange 2010 帳戶？

我們遇到了通過 SMTP 和 OWA 發送惡意電子郵件的受損 Exchange 帳戶的問題。

似乎其中許多帳戶是通過傳入的網路釣魚嘗試而受到損害的。我們目前正在部署一些東西來加強我們對這些的保護。

我們現在想研究更積極主動的方法來檢測被盜帳戶。一些非散列的想法出現了：

• 監控外發郵件隊列中的可疑活動
• 在 IIS 日誌中檢查來自外部 IP 地址的登錄
• 速率限制登錄（帳戶自動鎖定？）
• 限速電子郵件（自動鎖定帳戶？）

如果有人實施了這樣的事情，您使用過任何提示或產品嗎？您還嘗試過如何主動檢測受損的 Exchange（或 AD）帳戶？

這通常是使用集中式日誌記錄解決方案更好地解決的問題。這樣，您就可以在不影響郵件服務的情況下將檢測和情報外包出去。它們的具體實現方式會因您的日誌記錄解決方案而有很大差異，但任何現代日誌收集器都應該允許警報。我見過的最成功的方法是：

• 在Y小時內從X個國家/地區登錄。**您用於X和Y的值可能會有所不同，但會以一些常識為準。例如，4 小時內 2 個國家對於美國中部的組織來說可能是相當安全的，但對於歐洲邊境附近的公司來說可能會更加嘈雜。
• 在Y分鐘內從X個IP 地址登錄。**如今，大多數人將擁有 2-4 台配置了電子郵件的設備；台式機、筆記型電腦、手機、平板電腦。多一些，少一些。這兩個值在很大程度上取決於您的使用者群。一個好的起點可能是 3 台設備和 10 分鐘。
• X使用者從 1 個 IP 地址登錄。**在這裡使用 1 對 1 通常非常好。請記住，如果您將共享郵箱配置為單獨的帳戶並且將它們配置為單獨的使用者，*則會觸發此操作。*如果你有 VPN 或代理，你也會經常看到這個標誌。因此，準備好將系統列入白名單。

請記住，防止惡意方訪問受損帳戶的最佳方法是首先不允許訪問您的郵件系統。如果您可以限制您的組織對 OWA 或 EWS 的訪問，為外部員工使用 VPN，那麼您從一開始就處於一個更好的位置。

引用自：https://serverfault.com/questions/507697