邮件系统安全事件分析与响应
最近，许多学校报告说，黑客试图登录电子邮件系统，然后用他们的正常帐户发送垃圾邮件。这种针对电子邮件系统的安全事件最近并没有发生。早在2016年，中国科技大学的邮件系统就发现在中国一些城市出现了大量的IP地址尝试登录问题。初步判断是一些黑客试图通过穷尽的方法获得简单密码的用户密码。为此，提出以下对策:
1. IP地址连续密码错误，禁止使用pop / imap / SMTP等客户端方式登录。阻塞时间会随着错误次数的增加而逐渐增加。对于尝试使用多个IP地址的网络段，直接禁止使用客户端登录该网络段的IP地址。以上IP地址被封锁在https://blackip.ustc.edu.cn/mailblackip.php中有记录(早封记录已被删除，当前记录为2019年2月起);
2. 定期统计当天用户发送的电子邮件数量和IP源的数量。如果超过某个阈值，密码通常会泄露，用户密码被迫更改;
3.这一问题已反映给管理组织，管理组织答复说，处理这一问题不方便，因为没有造成明显的损失。
上述1、2处理均由程序自动完成，在一定程度上缓解了黑客登录用户账号的行为。
自2017年7月以来，约3500个账户的密码被强制更改。表1显示了每个时间段内被迫更改密码的用户数量的统计数据。
从统计数据中我们可以看出，到2020年，异常的电子邮件账户数量将会大幅增加。垃圾邮件的内容主要是网络赌博、网络借贷和网络诈骗。其他大学也报告了类似的问题，而且这个数字最近急剧上升。
这种密码泄露通常包括以下五种方式:
路径1:服务器端密码泄露。当服务器受到攻击时，加密的密码数据库被泄露，攻击者可以通过碰撞获得低密码强度的密码;
路由2:用户密码简单，黑客连续尝试即可获取;
途径三:用户访问电子邮件系统时不使用加密传输。在不安全的网络环境下，黑客在数据传输过程中拦截数据，直接获取密码;
路由4:用户在其他网站使用相同密码，其他网站密码泄露导致密码泄露;
路径5:用户终端安装恶意木马软件，窃取用户输入的密码。
其中，路径1属于邮件服务器安全，与用户没有直接关系;路由2与服务器和用户都相关;路由3到路由5是用户原因，仅仅加强服务器安全性并不能解决这个问题。
为了排除path 1，了解使用简单密码的用户的一般情况，在4月份开发了一个密码碰撞程序(https://github.com/bg6cq/checkwkpass)来测试学校邮件系统中85000个账号的弱密码。碰撞密码超过170万个，测试需要大量的计算量。优化后，一轮测试可以在学校超级计算中心的10台服务器上进行，时间为30秒。
4月，进行了碰撞试验，并进行了后续处理。弱密码用户数量如表2所示。
从表2可以推断，黑客如果曾经获得过服务器上的加密密码库，可以轻松获得近10000人的有效密码。因此，不太可能攻击路径1服务器来泄露密码。
目前，仍有3100多名用户使用弱密码。我们将继续督促用户修改，如有必要，我们将采取强制修改。即使是如此弱的密码，由于IP的自动屏蔽，黑客也不容易通过详尽的测试来尝试。
可追溯性和测试
为了推测黑客获取密码的方式，我们向一些用户发送了调查邮件来了解情况。以陈先生的电子邮箱陈* *为例。他的反馈密码比较复杂，只在几个相对安全的重要系统中使用。查询邮件系统日志后，相关事件如下:
1. h的过程腾讯企业邮箱、qq企业邮箱与微信完美结合的企业QQ邮箱，腾讯QQ企业邮箱上安全、稳定、高效、便捷，企业qq邮箱每账号每年100元起，企业邮箱用户越多越优惠,腾讯企业邮箱首页:www.tjwlt.com.如有疑问，请致电400-889-0304。