复旦大学：邮件系统安全运维实用建议

电子邮件系统是高校高频使用的信息化业务系统之一，用户众多、用户素质和安全意识参差不齐，难以管理，且邮件往来涉及多种信息，是网络攻击的重要对象之一。安全问题在于日常，根据高校邮件系统运维期间遇到的常见问题，我们总结了以下几条措施建议。

问题一 不活跃用户多

不活跃用户占用了有限的系统资源。同时，这些僵尸账户如同潜藏的病毒，一旦被盗，难以第一时间发现，存在安全风险。建议加强对不活跃账户的排查清理，锁定或停用长期无活动痕迹的账户，减少攻击面。

问题二 弱密码用户持续存在

弱密码账户也是网络攻击中的脆弱点，此类账户极易被盗，用户安全意识相对较弱。建议对弱密码账户进行专项巡检，并提升系统的口令强度要求，尽量杜绝弱密码账户的存在。

问题三 针对邮件系统的攻击行为增多

攻击者通过社会工程、暴力破解等多种方式获取邮箱用户的账号和密码，后续实施诈骗导致财产损失，或者窃取邮件内容，发送垃圾、钓鱼邮件，严重影响学校域名的信誉，且影响其他用户的正常发信。

1. 面向邮件系统管理者
2. 选择合适的邮件系统服务商，配置网络边界防护、网页防篡改、管理终端安全防护等必要的安全防护措施，不断提升系统安全防护能力和恶意邮件过滤能力。
3. 邮件系统登录密码应独立于其他系统，尤其是统一身份认证系统。有条件的情况下，开启双因子认证等安全登录方式。
4. 加强异常登录和收发信的监控，加强对日志的分析，及时发现攻击行为并采取相应的措施。
5. 与兄弟高校共享威胁情报，及时防范异常账号、异常IP和新的恶意邮件。
6. 日常注意系统维护和升级加固，定期巡检，及时整改发现的问题，消除安全隐患。重保前，进行专项安全检查，配置好防护策略，重保期间做好值守和应对。
7. 如果邮件系统运维依赖服务商，应做好第三方运维人员安全教育和日常操作管理，配置远程访问控制策略和运维审计等。
8. 面向邮件系统用户
9. 加强对师生用户的邮箱使用指导，日常关注登录和发信情况。
10. 加强邮箱安全管理，禁止使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息；禁止使用公务邮箱处理私人事务；做好公务邮箱和个人邮箱的管理。
11. 加强邮件安全宣传，通过邮件提醒、微信推送、网络安全周活动、新生入校教育等，为师生提供多种形式的安全科普和建议，不断强调不明邮件不轻信，不明链接和附件不点开，弱密码要避开，公私要分开，做好“人防”。
12. 可以视实际情况，每年开展1至2次反钓鱼演练。开展钓鱼邮件演练，能够检验和大幅度提高师生用户的警惕性和辨别能力，提升师生的安全防范意识。

版权声明：本文为Coremail管理员社区大咖嘉宾——复旦大学 徐艺扬老师的原创文章，文章首发于Coremail云服务中心管理员社区。