我们为数千名用户运行一个邮件系统,不时我们会收到来自某个用户帐户的大量垃圾邮件。
当这种情况发生时,我们会看到来自多个外国 IP 地址的连接,它们使用有效凭据向我们的 SMTP 服务器进行身份验证,然后我们重置用户的密码,垃圾邮件就停止了。这越来越烦人了:我们平均每个月都会遇到这种情况。
我想知道有效用户凭证为何如此频繁地被盗。我猜这些凭证不是被暴力破解的,因为大多数都是合理、强大的密码。
由于政策规定,我们也必须通过纯文本连接(无 TLS)提供服务(smtp、pop、imap),我正在尝试解决这个问题,但这将是一个漫长的过程,但在多个案例中,进一步的调查导致在用户的电脑上发现一些病毒。
电子邮件凭证是否大多是由台式电脑病毒窃取的?还是我怀疑当用户随身携带笔记本电脑/平板电脑/智能手机时,网络嗅探会更加频繁?还是我应该考虑其他原因?
除了强制对我们的 POP/IMAP/SMTP/webmail 连接使用安全的身份验证方法之外,我们还能做些什么来防止密码被盗?
答案1
我也遇到过同样的情况,总是病毒问题。
如今,只要你能够使用计算机,就很容易窃取密码。有许多程序可以为你提供所有用户配置的列表(包括密码、POP/IMAP 和 SMTP 服务器),甚至当我需要配置帐户但忘记了客户密码时,我也会使用这些程序。
我认为问题的原因可能是键盘记录器或使用此类程序的漏洞,而这些选项对于普通互联网用户来说非常“容易”,因此数据包嗅探并不常见。
我不知道您是否可以加密或使获取这些数据变得更加困难,但我会鼓励您定期强制在用户计算机上运行防病毒软件(如 Malwarebytes),但我也知道要求您的客户这样做通常会失败,因为他们要么忘记了,要么懒得去做。不过,您最好在午休时间强制扫描。