我运行一个基于 Linux 的邮件服务器,并使用 Dovecot 提供 IMAP over TLS 访问。该服务器已运行了 8 年多,它为我的电子邮件地址以及我的客户的电子邮件地址提供服务。
由于这是我的业务活动之一,并且对所有想要可靠、安全的电子邮件服务的客户来说都非常重要,因此我非常关注并关注安全和隐私问题。
我的配置没有任何问题,它运行了很长时间,非常顺畅,我对此非常满意。我遇到的唯一问题都是小问题,偶尔出现,通常与连接问题或配置更新太仓促有关。
软件包和发行版不是最新的,但它们是稳定的并且更新了最新的安全修复。
最后,我想说的是,我注意到一段时间以来,如果我使用 Outlook 移动版等客户端,我会看到来自未知 IP 地址的连接。这些 IP 地址甚至不在我所在的国家/地区,与我连接设备的网络(或多个网络)无关。
doveadm 向我提供了这些信息,并且日志还告诉我这些连接基本上始终保持畅通:
1 月 16 日 21:13:46 imap-login:信息:登录:用户 = <删除的电子邮件>,方法=LOGIN,rip=52.125.138.151,lip=XXXX,mpid=8175,TLS,会话=
这与我服务器上的电子邮件帐户有关,lip 当然是我服务器的 IP。我还看到另一个连接到我的帐户的 IP 地址,它对应于我的互联网连接(或我连接到的任何网络)。
所以问题是:它安全吗?它只是一个代理吗(但我使用 TLS...)或者当我使用 Outlook 设置我的帐户时我的密码存储在 Microsoft 服务器上?
我使用另一款应用程序时也遇到了同样的问题(我认为是适用于 MAC 和 IOS 的 Spark),我不得不经历一个漫长的过程才能从他们的服务中删除我的信息,我不得不联系他们的支持人员并最终更改了我的密码。为什么?因为在我从所有设备中删除他们的应用程序几个月后,我看到他们的 IP 地址连接到我的服务器和我的 IMAP 帐户。
我想知道是否有其他人注意到了这种行为,以及我是否太过担心。我理解这些应用程序想要为“电子邮件”添加一些功能,否则这些功能是不可能实现的,但我认为这是一个安全问题。
答案1
我们从 Outlook Mobile App 的用户那里看到了相同类型的连接。如果您所处的环境中需要您控制数据流,我看不出这如何符合要求。如果
您只是担心 Azure 服务器的安全性,我猜想它们在技术上是安全的,因为它是 MS,但我看不到实际验证安全性的方法。
发现 Outlook Mobile App 使用在 Azure 中构建和运行的无状态协议转换器组件。
发现 Office 365 用户抱怨 Outlook Mobile App 不遵守协议策略。换句话说,即使您为用户禁用协议,应用程序仍然能够连接。
其他人表示,即使协议在服务器端被禁用,应用程序仍然能够连接到帐户,并且连接不会终止,直到启动远程擦除或手动从设备中删除程序。
找到了一篇来自 MS 的文章来说明连接,他们指出,在终止帐户后,数据会在 Azure 服务器上缓存 3-7 天。
https://practical365.com/clients/mobile-devices/outlook-for-ios-android-still-able-to-connect-after-disabling-activesync/
https://docs.microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/use-basic-auth?view=exchserver-2019
答案2
问题在于 Outlook 和 Spark 的工作方式。由于它们提供推送通知,这就是为什么显示的是它们的 IP 范围而不是您的 IP 地址。普通电子邮件应用程序中的标准 IMAP 连接每隔 X 分钟连接一次以检查是否有新邮件。这会对您的电池使用量造成一些浪费。
因此,这些新应用程序试图变得聪明,在电子邮件到达时向您的手机发送推送通知 - 而不是您的手机一直检查。这也意味着,不幸的是,这些消息会被下载到他们的服务器上,这就是为什么您看到的是他们的 IP 范围而不是您的互联网连接 IP 地址。这是我停止使用 Spark 的原因之一。不过我使用 Outlook,因为我更可能信任微软和我的数据安全 - 虽然我的电子邮件在内容方面并不是什么大问题。