中科大:郵件系統安全事件分析及應對

中國郵箱網訊 6月19日消息 近期不少學校反映郵件系統被黑客嘗試登錄，進而利用正常帳號發送垃圾郵件的安全事件。此類針對郵件系統的安全事件不是近期開始發生的，早在2016年中國科學技術大學郵件系統就觀察到國內部分城市大量的IP位址嘗試登錄問題。初步判斷為有黑客試圖通過窮舉法來獲取密碼簡單的用戶密碼。為此做了如下應對處理：

1. 對於連續嘗試密碼錯誤的IP位址，禁止使用POP/IMAP/SMTP等客戶端方式登錄，封禁的時間隨錯誤的次數逐步變長。對於多個IP位址進行嘗試的網段，直接禁止該網段的IP使用客戶端登錄。以上封禁的IP位址，在https://blackip.ustc.edu.cn/mailblackip.php 有記錄（早期封禁記錄已經刪除，目前看到的是2019年2月開始的記錄）；

2. 定期統計當日用戶發郵件數量及IP來源數量，超過一定的閾值一般是密碼洩漏，強制更改用戶密碼；

3. 向管理機構反映該問題，管理機構答覆因未造成明顯損失，不方便處理。

上述1、2處理均由程序自動完成，一定程度上緩解了用戶帳號被黑客登錄的行為。

2017年7月至今,已經強制修改了約3500個帳號的密碼，表1是各個時間段強制修改密碼用戶的數量統計。

從統計可以看到，2020年出現異常的郵件帳號數量急劇變多。發送的垃圾郵件內容，集中在網絡賭博、網絡貸款、網絡詐騙話題。其他高校也均反饋有類似問題，且近期急劇增多。

這種密碼洩漏，通常是以下5種途徑：

途徑1: 伺服器端密碼洩漏。伺服器被攻擊導致加密的密碼庫洩漏，攻擊者可以通過碰撞手段獲取密碼強度不高的密碼；

途徑2: 用戶密碼簡單，被黑客持續嘗試後獲取；

途徑3: 用戶訪問郵件系統時未使用加密傳輸方式，在不安全的網絡環境下，黑客截取傳輸過程中的數據直接獲取密碼；

途徑4: 用戶在其他網站使用了相同的密碼，其他網站的密碼洩漏導緻密碼洩漏；

途徑5: 用戶的終端被安裝了惡意木馬軟體，該軟體竊取了用戶輸入的密碼。

其中，途徑1屬於郵件伺服器安全，與用戶不直接相關；途徑2則與伺服器和用戶都有關係；途徑3~途徑5，則是用戶原因，單獨加強伺服器安全並不能解決問題。

為了排除途徑1，並了解用戶使用簡單密碼的總體情況， 4月份開發了密碼碰撞程序(https://github.com/bg6cq/checkwkpass)，對學校郵件系統8.5萬個帳號進行弱密碼測試。碰撞的密碼共170多萬個，測試需要的運算量較大，經優化後在學校超算中心10臺伺服器上30秒鐘可以執行一輪測試。

4月份碰撞測試並進行後續處理，弱密碼的用戶數變化如表2。

從表2可以推測，假如黑客曾經獲取過伺服器上的加密密碼庫，可以很輕鬆獲取近萬人的有效密碼。因此途徑1伺服器被攻擊洩漏密碼的可能性很小。

目前，仍有3100多個用戶使用的是弱密碼，我們會繼續督促用戶修改，必要時採取強制修改的方式。而即便是這樣的弱密碼，想通過窮舉測試的方式嘗試出來，由於有IP的自動封鎖，對於黑客來說也並不是容易的事。

追溯與測試

為了推測黑客獲取密碼的方式，我們向部分用戶發送調查郵件了解情況。以郵件帳號chen***的陳某某老師為例，其反饋自己密碼相對複雜，僅僅在幾個相對安全的重要系統使用。經查詢郵件系統日誌，相關事件如下：

1. 黑客碰撞密碼過程

123.185.150.18 IP掌握有一批我校郵件用戶名和密碼，在2月27日 12:22:13 開始碰撞，第18個就是chen***，碰撞成功。這個IP因錯誤多次，在12:22:18被我校封鎖，但是碰撞chen***密碼是在封鎖前4秒鐘。

2. 發送垃圾郵件的過程

黑客獲取密碼後，一共發送過9次垃圾郵件，均是賭博類郵件。其他用戶也是類似情況：某個IP集中測試若干用戶和密碼，成功率很高。測試成功後不久，開始發送垃圾郵件。

如2020年5月8日，發現有若干用戶發送垃圾郵件，日誌顯示IP 182.122.84.189(河南平頂山)在凌晨01:33測試了25個用戶，其中22個用戶密碼正確。後續開始使用這些帳號發送垃圾郵件。

黑客測試25個用戶，其中22個密碼正確，說明黑客之前已經掌握了一批用戶名和密碼，而不是漫無目的地測試。這些用戶名和密碼，可能是通過途徑3、途徑4或途徑5獲取。

對於途徑3，只要用戶使用加密方式訪問郵件伺服器，就可以避免中間人在傳輸過程中截取數據包直接獲取密碼。我校郵件伺服器從2015年起就支持各種服務的加密方式，在郵件系統幫助頁公布有相關的加密服務埠信息。為了更好地提醒用戶使用加密方式，網絡信息中心在4月17日向所有用戶群發了「電子郵件安全使用小帖士」，強調儘量使用加密方式。我們推測使用不正規的運營商家庭寬帶上網、免費Wi-Fi上網環境或使用免費的翻牆軟體，被中間人截取密碼的風險很高。

途徑4和途徑5，只能依靠用戶自己來解決。

綜上所述，郵件系統被非授權登錄，絕大部分是黑客通過其他途徑，預先掌握了一批用戶名和密碼，因此單獨增強郵件伺服器的安全性並不容易解決被非授權登錄的問題。

目前，學校的郵件伺服器Web界面登錄輸入密碼多次錯誤會彈出驗證碼，所以黑客一般使用SMTP/POP/IMAP等服務方式來測試密碼。這些服務由於本來就是用於程序之間的通信，無法增加辨認圖形等人機識別（識別是人還是程序）過程，現已具備錯誤後禁止登錄的手段（目前，系統已經有登錄錯誤後短時間禁止登錄，即便提供正確的用戶名和密碼也會失敗）。

郵件系統使用建議

郵件系統是學校重要的信息系統之一，各學校都很重視其安全性。由於近期很多學校的郵件伺服器均碰到類似問題，而各學校對郵件軟體提出了增強安全性的功能需求。郵件軟體廠商擬提供的手段包括Web界面登錄時增加掃碼認證或簡訊認證；POP3/SMTP/IMAP登錄使用獨立的安全認證碼。這些功能有些正在開發，有些因太繁瑣很難被用戶普遍接受，有些功能實現複雜收益率很低。如果這些新的功能合適，我們會引進增加到學校的郵件系統。

對於中科大的郵件系統用戶，建議按照電子郵件安全使用小帖士中的要求使用，即可保障郵件帳戶的安全。

1. 嚴格做到「上網不涉密，涉密不上網」

嚴格按照國家有關保密法律法規，禁止使用網際網路電子郵件傳輸或處理涉密信息。

2. 重要文件做好備份，敏感信息請勿通過郵件明文傳送

重要文件及時做好備份，避免因各種軟硬體故障或攻擊導致數據丟失。敏感信息請勿通過郵件傳送，或者使用GPG之類的軟體加密後傳送。

3. 使用相對複雜的密碼，同樣的密碼請勿在其他網站使用

定期修改電子郵箱密碼，密碼強度達到「好」以上。發現有不正常的發信退信記錄，第一時間修改登錄密碼

4. 使用SSL/TLS加密傳輸方式訪問郵件伺服器

學校郵件系統POP3、IMAP、SMTP、WEB等服務均支持SSL/TLS加密傳輸方式。使用加密傳輸方式能避免網絡傳輸時的信息洩露。Web訪問時，使用 https://mail.ustc.edu.cn 連接伺服器，並選擇「SSL安全登錄」手機或PC端的郵件客戶端訪問時，設置對應的安全選項。

我校郵件伺服器SSL/TLS加密埠如下：

o POP3 SSL/TLS加密埠 995

o IMAP SSL/TLS加密埠 993

o SMTP SSL/TLS加密埠 465

5. 謹防欺騙、釣魚類郵件騙取重要信息

任何以郵箱停用、帳號重新登記等名義要求提供郵箱密碼的均為欺騙郵件，請勿相信。對於來歷不明郵件、不明內容的連結，請勿盲目點擊或下載打開，謹防釣魚郵件。對於內容為勒索或威脅恐嚇的郵件，冷靜分析，請勿盲目按照其指令進行操作。

6. 定期查詢登錄信息，核對是否設置有自動轉發

特別要關注登錄成功的信息，確保是自己正常登錄。定期檢查是否被非法侵入並設置了自動轉發。

此外，還需注意PC機或手機本身是否被植入監聽木馬等惡意程序。