中科大郵件系統安全事件分析及應對

網絡安全

中科大：郵件系統安全事件分析及應對

文/陳蕾 程雨 張煥杰

垃圾郵件事件

近期不少學校反映郵件系統被黑客嘗試登錄，進而利用正

常賬號發送垃圾郵件的安全事件。此類針對郵件系統的安全事

件不是近期開始發生的，早在2016年中科大郵件系統就觀察到

國內部分城市大量的IP地址嘗試登錄問題。初步判斷為有黑客

試圖通過窮舉法來獲取密碼簡單的用戶密碼。為此做了如下應

對處理：

1. 對于連續嘗試密碼錯誤的IP地址，禁止使用POP/IMAP/

SMTP等客戶端方式登錄，封禁的時間隨錯誤的次數逐步變長。

對于多個IP地址進行嘗試的網段，直接禁止該網段的IP使用

客戶端登錄。以上封禁的IP地址，在/

有記錄（早期封禁記錄已經刪除，目前看到的是

2019年2月開始的記錄）；

2. 定期統計當日用戶發郵件數量及IP來源數量，超過一定

的閾值一般是密碼泄漏，強制更改用戶密碼；

3. 向管理機構反映該問題，管理機構答復因未造成明顯損

失，不方便處理。

上述1、2處理均由程序自動完成，一定程度上緩解了用戶

賬號被黑客登錄的行為。

2017年7月至今,已經強制修改了約3500個賬號的密碼，

表1是各個時間段強制修改密碼用戶的數量統計。

從統計可以看到，2020年出現異常的郵件賬號數量急劇變

多。發送的垃圾郵件內容，集中在網絡賭博、網絡貸款、網絡詐

騙話題。其他高校也均反饋有類似問題，且近期急劇增多。

這種密碼泄漏，通常是以下5種途徑：

途徑1: 服務器端密碼泄漏。服務器被攻擊導致加密的密碼

表1 強制修改密碼用戶的數量統計

2017年173個7月-12月

2018年1148個

2019年1009個

2020年1378 個截至5月8日

64

中國教育網絡 2020.6

庫泄漏，攻擊者可以通過碰撞手段獲取密碼強度不高的密碼；

途徑2: 用戶密碼簡單，被黑客持續嘗試后獲取；

途徑3: 用戶訪問郵件系統時未使用加密傳輸方式，在不安

全的網絡環境下，黑客截取傳輸過程中的數據直接獲取密碼；

途徑4: 用戶在其他網站使用了相同的密碼，其他網站的密

碼泄漏導致密碼泄漏；

途徑5: 用戶的終端被安裝了惡意木馬軟件，該軟件竊取了

用戶輸入的密碼。

其中，途徑1屬于郵件服務器安全，與用戶不直接相關；

途徑2則與服務器和用戶都有關系；途徑3~途徑5，則是用戶

原因，單獨加強服務器安全并不能解決問題。

為了排除途徑1，并了解用戶使用簡單密碼的總體情

況， 4月份開發了密碼碰撞程序(/bg6cq/

checkwkpass)，對學校郵件系統8.5萬個賬號進行弱密碼測試。

碰撞的密碼共170多萬個，測試需要的運算量較大，經優化后

在學校超算中心10臺服務器上30秒鐘可以執行一輪測試。4

月份碰撞測試并進行后續處理，弱密碼的用戶數變化如表2。

從表2可以推測，假如黑客曾經獲取過服務器上的加密密

碼庫，可以很輕松獲取近萬人的有效密碼。因此途徑1服務器

被攻擊泄漏密碼的可能性很小。

目前，仍有3100多個用戶使用的是弱密碼，我們會繼續

表2 用戶數變化

4月8日7497發郵件通知用戶修改

4月9日7248

4月11日7198

4月12日7179

4月13日7165發郵件通知用戶修改

4月17日6637

發郵件通知用戶修改，

強制修改1754個離校用戶弱密碼

4月20日5935

4月24日4090

發郵件通知用戶修改，

強制修改646個123456弱密碼

4月24日3373

4月26日3338

4月28日3305

5月9日3152