邮件服务器最近出现大量的未知IP连接,这是什么情况呢?
毫无疑问,这是黑客对邮件服务器的常见攻击手段,上面这类情况可能有些IT朋友们应该也有遇到过或者有所耳闻吧,我们还是给大家分析下产生的原因、影响以及该如何解决。
现象分析:
这些未知的IP其实是黑客通过控制许多僵尸机器撞库攻击邮件服务器,尝试破解邮件账号密码,达到利用这些账号发送垃圾广告或钓鱼邮件,甚至伺机进行财务诈骗。
而这样的撞库攻击大部分是通过明文的SMTP 25端口来尝试验证外发,也有通过POP3协议登陆收取验证密码。
产生的原因可能是:
1. 服务器明文端口开放,给了黑客可进入的机会;
2. 服务器安全验证级别较低,匿名伪装即可访问;
3. 密码简单、公司统一初始化密码;
4. 员工安全意识薄弱、很多网站上留有公司邮箱地址。
最终产生的影响:
1. 当出现大量IP连接会话时,会导致SMTP或POP3无法响应,邮件服务器瘫痪,邮件无法正常收发;
2. 如果黑客破解邮件账号密码,则通过邮件服务器发送大量垃圾广告或钓鱼勒索等邮件,IP轻易被列入到RBL黑名单后导致正常商务邮件的到达率大大降低。
3. 高级黑客获取用户的密码,可长期潜伏在用户信箱,与客户的商务合作伙伴进行冒名沟通,诈骗钱款。
如何解决撞库攻击?
1. 必须关闭邮件服务器的明文端口。购买并安装国际认证的SSL证书,开启465/ 995 /993加密端口,所有客户端须修改为加密配置,关闭明文端口(25端口关闭务必有使用第三方网关前提--见第5条);
2. 提高服务器安全验证机制,务必保证From 与sender匹配且有验证的条件下方可外发;
3. 设置单个账号每日外发数量限制;
4. 加强账号密码复杂性,建议八位以上,数字+大小写英文+特殊字符组合的形式
5. 部署反垃圾网关(如本地硬件网关或第三方云网关),可关闭明文的25端口,由网关来收取外部邮件;
6. 最后别忘了培训员工伙伴的安全意识,不要随便在互联网上填写散播企业邮箱地址哦!
现在黑客技术也在升级,我们监测到少量针对加密端口995/465/443的撞库攻击,所以本地邮件服务器上的安全策略也是必不可少的。
合作企业
行业和类目
服务响应
垃圾拦截率
连续多年获得网易优秀经销商
一心一意专心致力于企业邮箱
满足企业信息化个性需求
一对一邮箱顾问服务