公司邮件服务器一直有账号暴力破解,有什么好办法?
Exchange服务器,后台日志发现一直有 ABC-开头的主机对账号进行破解,就是不断测试密码域控这里设置密码错误5次就锁定的政策,所以账号一直被锁定
现在只能每天看这些主机的IP然后Ban
这种现象有地方去报警吗?或者还有啥其他办法? 没有实质性损失,警察一般不会管吧。可以想办法给对方挖个坑 只有重试锁账户 没有重试锁IP? 改成锁ip不就好了 fail2ban了解一下。 防火墙上限制可以访问的源ip
如果有移动访问的需求
就套一层安全隧道 邮件服务器限制ip只有隧道服务器和内网网段 这个没啥好办法的,只能是加强防火墙。 加复杂图形验证码或者二级认证接入谷歌Authenticator这些 防火墙配置规则。
另外,Kaspersky 企业版的 KES 自带的防火墙可以检测这类行为,通过 KSC 策略在 Exchange 服务器端也可以下发相应的规则限制 本帖最后由 jiaoxiake 于 2024-6-7 13:53 编辑
使用fail2ban 屏蔽它的IP,还可以加规则推送到钉钉之类的.
图片和逻辑验证 在客户端提交前就基本阻止掉了 公司的玩意你操心什么
邮件服务器除了ban确实是没啥好办法
stmp/pop那些加什么otp不实际 我这种小白都知道,双管齐下,二次验证 规则限定IP才能登录 就这么两条路呗,另外说一下我们单位出这事最后抓到是内鬼。 devilwalk 发表于 2024-6-7 11:39
fail2ban了解一下。
你这个是LINUX专用的吧? fw之中没有相关的选项 [吃惊]你是说服务器的exchange端被暴力破解,还是说你ssh被暴力破解 weizhen199 发表于 2024-6-7 15:07
你是说服务器的exchange端被暴力破解,还是说你ssh被暴力破解
exchange邮件服务器,因为都是在公网上的,不断有人在试密码 一定要开MFA,防火墙上做一些行为识别,企业级的产品都有类似功能 apple524 发表于 2024-6-7 15:19
exchange邮件服务器,因为都是在公网上的,不断有人在试密码
如果用的是巨硬的服务,那大家说的MFA就行。
如果是自己搭的exchange,好像还没现成的2fa方案 fail2ban哪哪都有的程序 再做个蜜罐收集ip 提前feed给exchange服务器 公司的远程接入服务猥皮恩都要加密保,Authenticator 可以试试 exchange服务器加linux邮件服务器前端做边缘
页:
[1]