邮箱被盗号并向外发送垃圾钓鱼邮件情况频发，不仅会导致收件人上当受骗，更会影响发信IP的可用度和发信域的声誉，影响域内用户的正常外发。

除了加强对账号异常登录、收发的行为的监控，以及加强对入信中钓鱼邮件的识别，有两个方向的努力也非常重要，一是提高用户的网络安全意识，二是降低账号被盗的概率。
​在降低账号密码被盗的影响方面，开启二次验证登录是有效的办法。

一、高校邮件系统概述

1.高校邮箱的主要用途

高校的电子邮件系统，用户主要为教师和学生，用户量大，日常收发量大。对于教职工而言，除日常工作交流外，最重要的用途便是海内外学术交流和校务、课务通知等。对于学生而言，主要包括接收通知、提交作业、学术交流、找工作等。

2.高校邮箱用户的现状

用户类型：根据相关要求，高校需加强邮箱账号管理，建立和完善电子邮件账号注销机制，但在一定时间段内，邮件系统中可能同时存在离校学生/员工、在校学生、在校教职工的个人邮箱和院系部处工作邮箱。各高校均不同程度存在长期无人使用或管理的“僵尸账号”。存在被他人利用的网络安全风险。

使用方式：在使用方式上，日常以各种第三方邮箱客户端为主的用户不在少数。还存在使用自动转发、日常很少或几乎不登录的用户。 

安全意识：师生用户网络安全意识参差不齐、警惕性不足，不少用户喜欢使用常见的密码组合或与身份证号、生日、姓名拼音等个人信息相关的字符串。面对各类钓鱼邮件，也时有师生用户“中招”。

二、实施登录二次验证的流程

1.实施前准备工作

（1）系统对接与测试 

以Coremail XT6邮件系统为例，其二次验证目前支持Coremail论客App、第三方OTP、手机短信、备用邮箱、微信小程序等多种方式，需根据自身系统情况，对短信平台等进行对接测试，确保相关验证方式能正常运行。

（2）二次验证流程与信任逻辑的理解

邮件系统管理员和信息化部门（IT部门）工作人员需要熟悉二次验证绑定设置、使用、解绑全部流程，并进行试用，了解常见问题。
二次验证基本流程：用户登录——校验密码——二次验证请求下发——用户反馈或确认——校验通过——登录到邮箱界面。 建议邮件系统服务商与学校邮件系统管理员进行深入沟通，理清二次验证机制及各种验证方式的信任逻辑，对二次验证中可能存在的风险点或问题点形成更清晰的认识，也有助于出现问题后的排查研判。

例如：

①【豁免时间】

当用户已经绑定/解绑/修改绑定一次后，系统默认会提供15分钟豁免时间。在15分钟内用户再次绑定/解绑/修改绑定前，都不需要先二次验证。
②【Coremail论客App】

当更换设备时，新设备上的App会要求二次验证，这是由于绑定方式与设备相关，原信任设备不可用时，只能通过后台解绑，再绑定新设备。
③【忘记密码】

短息找回密码方式，如果仅在“个人信息”中维护过手机号，此方式不可用，需要在“二次验证”中绑定过手机号，或者在“高级功能”中设置过“绑定手机”；备用邮箱找回密码方式，则在“个人信息”中维护过备用邮箱即可用。
④【客户端专用密码】

如果对组织仅强制启用二次验证，组织内的账号仅在通过web页面登录时会强制跳转到配置二次验证页面。如果不绑定二次验证，用户依然可以使用原账号密码登录客户端协议，通过SMTP发送邮件（已经被盗的账号，依然可以通过客户端协议发送邮件）。因此，组织启用二次验证后，建议在密码策略-高级设置中，同时勾选强制使用客户端专用密码的设置项。

（3）用户手册的编制

​ 面向用户，编写详细的步骤指南，包括绑定设置、使用、换绑或解绑等全流程。并参考服务商和其他兄弟院校的经验，提供常见问题的解答。尤其是，启用二次验证后，客户端软件需要修改客户端专用密码。
基于该用户手册，对服务人员做好培训，以应对可能发生服务量增长。如有知识库或智能问答机器人，可将相关内容导入。

2.根据实际情况分阶段启用

分析用户构成情况，制定好通知和启用的计划。

(1）用户群体的识别与分析

​对用户群体做好分析，例如教师、学生、部门邮箱，离校学生、在校学生，离校职工、在校职工，长期不登录的不活跃账号、6个月内有登录记录的活跃账号等。分析用户结构，为后续分批启用提供参考。

（2）针对不同用户群体制定启用计划

针对不同用户群体，分批发送通知，告知二次验证启用事宜，在通知的截止日期操作开启（仅举例供参考，请根据实际情况制定计划）。
例如： 

• 长期不活跃账号：保护性锁定、强制开启二次验证
• 学生账号：区分在校、非在校状态，先对非在校学生账号强制开启，再对在校学生账号强制开启
• 教师账号：多次通知，建议开启，后根据启用情况，逐步全面覆盖；离校职工的账号应及时注销或锁定
• 有被盗记录或大量被攻击的账号：强制开启
• 部门邮箱：根据实际业务需求启用或设置例外
• 新开通邮箱：强制开启