在过去的一周中,来自各种IP地址的电子邮件帐户经常出现身份验证失败的打击信号-通常以575次尝试为单位。因此,暴力破解获胜的机会是无穷的。但是,由于身份验证失败,我的托管服务提供商会不断锁定电子邮件帐户。直到僵尸网络继续前进?任何有类似经验的人都可以评论我是否可以期望这一切结束?我想他们完成了对新策略/系统的“测试”并按下了“回滚”按钮?

我不满意支持在我结束时坚持进行如此多的故障排除,而事情似乎在此之后就开始了。在他们结束时进行一次安全检查,但这始终都是这样...

评论

请您的电子邮件提供商进行更改,这是唯一的选择。同时,打开一个新帐户并将所有电子邮件转发到您的新帐户,以便您仍然可以正常工作?
您使用的是大型电子邮件提供商之一(Gmail等)还是较小的提供商?
寻求一个更好的提供商,使其对这种琐碎的DoS不太容易受到攻击?
也许另一个帐户受到攻击(银行?Facebook?所得税退还?您拥有的域名?),他们正在拿走您的电子邮件,因此您不会收到通知。
我的帐户也有类似的经历:罪魁祸首实际上是我的手机,该帐户的密码过时,反复尝试登录失败。

#1 楼

一些想法:


通常,我的第一个建议是选择一个非常强壮的密码。但是您已经准备好了。
如果有两个可用的身份验证,请打开它。如果幸运的话,它可能会使您成为没有吸引力的目标,并导致攻击者继续前进。
如果帐户锁定不影响其他读取邮件的方法(例如通过IMAP),则可以切换到保持访问权限。 (说实话,我对IMAP的安全性了解不多,因此您可能需要在打开IMAP之前先考虑一下。)
将邮件转发到其他地方也将确保即使您的情况下也可以阅读帐户已被锁定。
最后,您可以尝试与您的电子邮件提供商联系。我认为您最好的办法就是向他们描述问题,并询问他们可以为您做些什么。


评论

2FA真的有帮助吗?通常要等到输入正确的密码后才能尝试第二个因素,而且攻击者永远也不会尝试。

– Barmar
19年4月6日在18:35
是什么让您认为他还没有使用IMAP?

– Barmar
19年4月6日在18:36
@Barmar如果未编写攻击者的脚本来尝试在第二因素上输入任何内容,则可能会阻止锁定。至少值得一试。

– jpmc26
19-4-6在20:27


我认为大多数2FA系统在成功通过第一个因素之前不会提示输入第二个因素。

– Barmar
19年4月6日在21:21
@Barmar是的,的确如此,但我的建议仍然有效。它有非零的机会提供帮助,工作量几乎为零,风险为零,无论如何您都应该这样做。因此,即使它可能无济于事,您仍然应该这样做。

–安德斯
19年4月7日在7:09

#2 楼

否。这几乎是互联网上的背景噪音。

我从一个随机服务器上收到电子邮件:

$ sudo grep -c "auth failed" /var/log/mail.log
1109


就是今天使用fail2ban可以阻止来自同一IP的五次以上尝试。

评论

这不是同一回事。他指的是一个特定的帐户,而不是邮件服务器的完整身份验证日志。这是针对一个特定用户的尝试。

–约翰·基茨(John Keates)
19年4月6日在21:27
没错,这是我的特别帐户-但我认为vidario在一般意义上是正确的。我的托管公司最近更新了csf的实现,我想知道它是否过于严格-我一直在想攻击是否没有新意-只是在“ y分钟内尝试x次失败”之后才锁定帐户的新政策...

–clemdia
19年4月7日在3:53


我理解了这个答案,以表明即使对于某些随机在线服务器,身份验证尝试失败的次数也很多,应该可以预料(这是正确的),而不是将示例等同于OP的用例。

–ʻaaaaaa
19年4月8日在14:52
@clemdia是的,您可能想与他们联系,然后让他们知道,他们的“安全性”通过将合法用户(您)锁定在外,从而将行之有效的强行驱赶变成了DoS。帐户。他们应该通过IP而非帐户来阻止身份验证尝试,这是很糟糕的做法。

– Doktor J
19年4月9日在13:57

#3 楼


tl / dr:这是您的托管公司的问题,而不是您的问题。您需要
与他们联系以进行修复。他们的安全政策不应
将您锁定在自己的帐户之外。他们需要改善安全性。


您已经有了一些我非常同意的答案,其中涵盖了此方面的技术方面,但是我要提出另一个答案以涵盖“业务”项。在这里,您遇到了问题的症结:


但是,由于身份验证失败,我的托管服务
提供程序一直锁定电子邮件帐户。


换句话说,问题不是您的问题。您已尽一切努力在他人的邮件服务器上保护帐户安全-您使用的强密码无法强制使用。这里的根本问题是您的托管服务提供商实施了错误的安全策略。正如@vidarlo所说,这只是互联网的背景噪音。您的托管服务提供商应该知道这一点。不幸的是,他们选择的响应方式具有将您锁定在帐户之外的副作用。

实质上,托管公司的安全策略选择与Internet上每台服务器上发生的标准密码扫描的结合,导致电子邮件的拒绝服务(DoS)。如果您的电子邮件因某人尝试了您的托管服务提供商的实际DoS并导致其网络充满无用带宽而掉线,则解决方案将非常简单。您不会在这里问您可以采取什么措施来解决此问题-您需要与您的提供商联系,并要求他们解决该问题。毕竟,使用第三方电子邮件服务提供商的全部目的是让他们为您提供服务。如果没有为您提供该服务,或者是因为它们的服务器出现故障,由于DoS破坏了它们的网络,或者由于他们的安全策略过于热情并且使您无法使用帐户,那么唯一的解决方案是您的托管服务提供商对其进行修复,并为您提供要支付给他们的服务。

我们遇到的许多问题是人们共同忽视安全性的结果。.但是,有很多问题人们尝试做安全性但做错了更多的例子。这是后者之一。因此,您绝对需要与您的托管服务提供商联系,并请他们进行修复。如果他们不能为您提供您所支付的服务,那么您需要切换到将要提供服务的提供商(尽管希望它将不再是根本不提供安全性的提供商)。

评论

是的,为此+1。我在一家电子邮件安全公司工作,与OP相比,我们拥有更加智能的反暴力系统。这类钝器保护是不必要的-由于暴力行为而将合法用户锁定只是在诱使拒绝服务。如果可能,请考虑更改您的电子邮件提供商...

–史蒂夫·希普(Steve Shipway)
19年4月7日在20:42
事实证明,在这种情况发生之前,他们重新实现了CSF(也许还有其他一些东西)。我怀疑他们实施了一项策略,该策略会在“ n分钟内尝试x次”之后偏转/拒绝所有身份验证请求(无论源IP是什么)-我可以看到自己连接到服务器,遭到拒绝,再次提交相同的凭据,再拒绝几次,然后凭据突然起作用。我与他们一起通过电话直播。他们同意这很奇怪,然后通过电子邮件向我发送日志文件,该日志文件显示了来自我的IP地址的“身份验证失败”。是的,不要开玩笑...

–clemdia
19年4月8日在1:57
@clemdia很难100%肯定地说出来,但是绝对听起来这在他们的头上完全是个问题,并且(无论哪种方式)只能在他们的头上解决。在某种程度上,他们还将您用作Beta测试人员(有意或无意)。几乎所有的高科技公司都在某种程度上做到了这一点,因此我为您提供了耐心的支持,但这也不是您必须继续做的事情,尤其是当它们继续提供不完善的服务时。

– Conor Mancone
19年4月8日在2:01
@clemdia一个简单的错误示例,可以解释以下问题:“身份验证失败”是非常广泛的错误消息。可能是他们的系统将其用于任何种类繁多的身份验证失败,包括“由于尝试失败次数过多而被自动阻止”。因此,僵尸网络触发了您帐户上的阻止,然后您尝试登录并获得身份验证失败-不是因为您的凭据错误,而是因为您被自动禁止了。他们看到“身份验证失败”,因此得出结论,您输入密码错误,遗漏了更大的问题。

– Conor Mancone
19年4月8日在2:03
我不能肯定这是发生了什么,但是类似的事情很容易发生并且容易错过。作为另一端的程序员,很容易将错误放入最明显的盒子中,有时甚至漏掉了根本原因,导致解决问题所需的时间超出了必要的时间……当然,我自己从未做到过……

– Conor Mancone
19年4月8日在2:04

#4 楼

是的,让您的官方电子邮件地址将您的电子邮件转发到新的“刻录机”电子邮件帐户非常容易。然后,在新的电子邮件帐户设置中,将“发件人:”字段设置为您的正式电子邮件地址。这样邮件就这样出去了。 

 From: account-I-always-had@oldserver.com
 Subject: Re: so-and-so
 In-Reply-To: <4735813474834434634@theirmail.com>
 Sender: burneraccount@newserver.com


或者类似的东西。

无论如何,这可以让您将身份保留在官方电子邮件地址中。登录服务器上的攻击与收发电子邮件无关。

从上面可以明显看出,您的新电子邮件地址在标题中可能很明显,因此请不要设置自动回复器。只与您信任的人相对应。如果该刻录机电子邮件帐户遭到攻击,请丢弃此刻录机帐户,设置另一个帐户,并告诉官方电子邮件服务器转发到新的刻录机。

然后,研究您在过去2天内向最后一个刻录程序帐户发送邮件给谁。其中之一妥协了。使用一种或多种策略来诱骗他们攻击该帐户或另一个刻录机帐户,从而使您可以区分出确实是谁。

评论

或者,如果可能,将用户名更改为与地址不同的用户名。这样,您可以从相同的地址答复并拥有相同的邮箱,但可以防止帐户锁定。

– Esa Jokinen
19年4月7日在4:05
这(如果可能的话)-顺便说一句,这种经历突显了要求电子邮件地址作为用户名的网站的愚蠢-愚蠢。

–clemdia
19-4-7在4:36


您可以尝试使用+添加每个域的后缀。那么当您收到垃圾邮件时(很可能)将包括谁泄漏了您的电子邮件。而且,阻止来自该域的所有电子邮件变得很容易

– sudo rm -rf斜杠
19年4月7日在7:31
@ sudorm-rfslash-我认为+后缀技巧可能是gmail特定的。

–贾斯汀
19年4月9日在15:08
@ sudorm-rfslash是的...我实际上已将邮件服务器配置为使用_作为“装饰符”或“后缀”字符。由于许多(尤其是商业)域都使用first_last@example.com格式,即使拒绝其中带有+电子邮件的网站也仍然会很乐意接受其中带有_的电子邮件!

– Doktor J
19年4月9日在20:26

#5 楼

这取决于您的提供商以及他们愿意做什么。也许甚至是您的CIDR,但是如果您做的太多,那么一些不良流量就可能开始发生。现在,黑客可以选择成千上万的IP,但最终他们可能会阻止它们。

显然,您的提供商需要更好的ddos保护。