公司邮件服务器一直有账号暴力破解，有什么好办法？

apple524 · 发表于 2024-6-7 11:15

Exchange服务器，后台日志发现一直有 ABC- 开头的主机对账号进行破解，就是不断测试密码
域控这里设置密码错误5次就锁定的政策，所以账号一直被锁定
现在只能每天看这些主机的IP然后Ban

这种现象有地方去报警吗？或者还有啥其他办法？

有事没事眨眨眼 · 发表于 2024-6-7 11:20

没有实质性损失，警察一般不会管吧。可以想办法给对方挖个坑

lecan · 发表于 2024-6-7 11:26

只有重试锁账户没有重试锁IP？改成锁ip不就好了

devilwalk · 发表于 2024-6-7 11:39

fail2ban了解一下。

lutasa43210 · 发表于 2024-6-7 11:40

防火墙上限制可以访问的源ip
如果有移动访问的需求
就套一层安全隧道邮件服务器限制ip只有隧道服务器和内网网段

雨季不再来 · 发表于 2024-6-7 11:42

这个没啥好办法的，只能是加强防火墙。

uuyyhhjj · 发表于 2024-6-7 12:00

加复杂图形验证码或者二级认证接入谷歌Authenticator这些

imyz · 发表于 2024-6-7 13:30

防火墙配置规则。

另外，Kaspersky 企业版的 KES 自带的防火墙可以检测这类行为，通过 KSC 策略在 Exchange 服务器端也可以下发相应的规则限制

jiaoxiake · 发表于 2024-6-7 13:52

本帖最后由 jiaoxiake 于 2024-6-7 13:53 编辑

使用fail2ban 屏蔽它的IP,还可以加规则推送到钉钉之类的.
无标题.jpg

fhhghost · 发表于 2024-6-7 13:57

图片和逻辑验证在客户端提交前就基本阻止掉了

YoshinoSakura · 发表于 2024-6-7 14:35

公司的玩意你操心什么
邮件服务器除了ban确实是没啥好办法
stmp/pop那些加什么otp不实际

chromium26 · 发表于 2024-6-7 14:36

我这种小白都知道，双管齐下，二次验证规则限定IP才能登录就这么两条路呗，另外说一下我们单位出这事最后抓到是内鬼。

楼主的马甲 · 发表于 2024-6-7 14:56

devilwalk 发表于 2024-6-7 11:39
fail2ban了解一下。

你这个是LINUX专用的吧？

红枫叶 · 发表于 2024-6-7 15:00

fw之中没有相关的选项

weizhen199 · 发表于 2024-6-7 15:07

你是说服务器的exchange端被暴力破解，还是说你ssh被暴力破解

apple524 · 发表于 2024-6-7 15:19

weizhen199 发表于 2024-6-7 15:07
你是说服务器的exchange端被暴力破解，还是说你ssh被暴力破解

exchange邮件服务器，因为都是在公网上的，不断有人在试密码

kakadodo · 发表于 2024-6-7 15:42

一定要开MFA，防火墙上做一些行为识别，企业级的产品都有类似功能

weizhen199 · 发表于 2024-6-7 16:32

apple524 发表于 2024-6-7 15:19
exchange邮件服务器，因为都是在公网上的，不断有人在试密码

如果用的是巨硬的服务，那大家说的MFA就行。
如果是自己搭的exchange，好像还没现成的2fa方案

YsHaNg · 发表于 2024-6-7 16:47

fail2ban哪哪都有的程序再做个蜜罐收集ip 提前feed给exchange服务器

raoshine · 发表于 2024-6-7 17:47

公司的远程接入服务猥皮恩都要加密保，Authenticator 可以试试

kaneren · 发表于 2024-6-7 18:51

exchange服务器加linux邮件服务器前端做边缘

账号		自动登录	找回密码
密码			加入我们

[软件] 公司邮件服务器一直有账号暴力破解，有什么好办法？