我们为数千名用户运行一个邮件系统,有时我们会从我们的用户帐户中收到大量垃圾邮件。
当发生这种情况时,我们看到来自多个外国 IP 地址的连接,并且他们使用有效凭据向我们的 SMTP 服务器进行身份验证,然后我们重置用户密码,垃圾邮件停止。越来越烦人了:我们平均每个月都会遇到这样的案例。
我想知道有效的用户凭据如何如此频繁地被盗。我猜他们不是暴力破解的,因为他们中的大多数都是理智的、健壮的密码。
由于一项政策,我们确实必须通过明文连接(无 TLS)提供服务(smtp、pop、imap),我正在尝试解决这个问题,但这将是一个漫长的过程,但在不止一个案例中会进一步调查导致在用户的电脑上发现一些病毒。
电子邮件凭据是否主要被台式电脑病毒窃取?或者当用户带着他/她的笔记本电脑/平板电脑/智能手机四处走动时,我是否不得不怀疑更多的网络嗅探?或者我应该考虑其他原因?
除了为我们的 POP/IMAP/SMTP/webmail 连接强制使用安全的身份验证方法之外,我们还有什么可以做的来防止密码被盗吗?
我也遇到同样的情况,总是病毒问题。
如今,一旦您可以访问计算机,就很容易窃取密码。有许多程序可以为您提供所有用户配置(包括密码、POP/IMAP 和 SMTP 服务器)的列表,即使我在需要配置帐户但忘记客户密码时也会使用这些程序。
对于问题的原因,我最好的选择是键盘记录器或使用此类程序的漏洞利用,并且这些选项对于普通互联网用户来说非常“容易”使用,因此数据包嗅探并不常见。
我不知道您是否可以加密或使其更难获取该数据,但我会做的是鼓励您强制需要定期在用户计算机上运行防病毒软件(如 Malwarebytes),但我也知道问你的客户这样做通常会失败,因为他们要么忘记了,要么懒得去做。不过,您宁愿在午休时间强制进行扫描。