邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 帐号安全遐想--写给帐户被盗来发垃圾邮件的朋友 [打印本页]

作者: mynetway 时间: 2010-12-20 12:14
标题: 帐号安全遐想--写给帐户被盗来发垃圾邮件的朋友
邮箱用户帐号被盗在近期愈演愈烈，相信很多人都碰到了。我自9月底开始关注，然后刚好国庆假期，接下来公司旅游基本整一个月都没多少机会坐在电脑前。直到11月觉得事态严重，解决了并在此站发了篇解决方案。
详见：http://bbs.5dmail.net/thread-191566-1-2.html

然而知已知彼，百战百胜，我们必须关注的是它的原理。
下图是某款SMTP破解软件的图片，为了不为它推广，关键信息我抹去了。
[attach]10054[/attach]

当然现在SMTP探测近乎过时，大多软件均可以动态屏蔽。估计近期被盗的，全改成了POP3探测了。
实际上写这种程序并没有什么难度，我花不用一小时就能写出来。
研究上述SMTP探测的方式我们可以知道：
1、它探测的是mail.domain或smtp.domian、domain域名三种，假如是新建的服务器，直接弄个mailserver-china.domain、email.domain之类的就可以避过此类探测。这种方法很直接有效，虽然别人获得了你的邮箱地址，但需要查询MX记录才能找到服务器IP。
2、它探测的用户有2种@之前及邮件地址全址。这一点跟此前我观察的有些许出入，因此被盗用户有不曾在网上公开过的邮箱。所以它可能不是导入邮箱列表，但估计这种情况不会多。因为帐户、密码均需猜测成本实在太高。最大可能的是服务器软件有BUG，帐户列表被探测到。
3、它有密码字典，#user#就是@之前的帐户名，其他都是些很弱的密码。防范方式就必须是强密码了，但未必需要强到必须有数字、字母还要大小写等强度，强密码也是带给用户最麻烦的一种方式。当用户接受不了的时候，我们可以给他们点建议，弄个密码字典。
说点题外话：
我公司有位同事，中层。因为年龄不小了，对数字不太敏感，信用卡的查询密码总忘。我给他的建议是：不要用生日、不要用电话号码、也不要用家人的生日电话等。因为在国内，身份证电话等一些信息保密实在有限。我建议他取一个城市的邮政编码，要是自己忘了，拿起台历找那个城市的邮政编码就好了。

另外的一点建议，给它弄点陷井：
有些邮箱是不需要外发权限的，而md刚好有这个功能。我们的hr@domain邮箱就是不可以有外发权限，只是专门用来收简历。假如你们公司没有这邮箱也不要紧，找些常有，但你们没用到的邮箱建起来，比如：info@domain、webmaster@domain、sales@domain之类的，一定要弱密码。虽然它可以探测到，但没有外发权限也是没用的。发垃圾邮件的虽然是通过软件发送，但软件也是害怕坏进程，遇上这样的错误多了它的效率就没有了，低成本的情况下恐怕它的软件也运行不下去了。

[ 本帖最后由 mynetway 于 2010-12-20 12:21 编辑 ]

作者: wxhsh 时间: 2010-12-20 12:42
非常好的方案，我这里人事的邮箱是重灾区，并且还要改变管理员习惯，初始密码不能和用户名一样。偶这里以前没注意，惨痛啊，查了下，90%以上的用户没有改过初始密码。。。。。。汗

作者: 钉子 时间: 2010-12-20 17:35
不错。支持一下。我也遇到很多客户有这种问题，有一些是SMTP配置不正确，更多的是密码策略造成的。

作者: xieyy 时间: 2010-12-20 22:41
我现在做好邮件服务器之后开始分配账户，密码全部使用姓名缩写加乘法口诀表，很多用户根本就不改初始密码，没办法，你要想周全点。

作者: Kyan 时间: 2010-12-21 02:53

原帖由 mynetway 於 2010-12-20 12:14 發表並‧
郵箱用戶帳號被盜在近期愈演愈烈，相信很多人都碰到了。我自9月底開始關注，然後剛好國慶假期，接下來公司旅遊基本整一個月都沒多少機會坐在電腦前。直到11月覺得事態嚴重，解決了並在此站發了篇解決方案。
詳見：h ...

事實上這些軟件都是中國製造（Made in China），會收到垃圾郵件又能怪得了誰？只能說中國人太聰明了，但是卻沒有把聰明用在正途上。請看這兩個網站：http://www.100wmail.com/ ； http://www.1234m.com/mail.htm

我在台灣也曾是這個軟件的被害者，我先查到它的 IP，它使用的是動態 IP，當時不知道使用者的真實身份（後來由 ISP 查到他的姓名，原來他是來自福建省福州市）。因此，我把 ISP 中華電信前任總經理（現任董事長）、中華電信數據分公司經理、資訊安全室主任及使用該動態 IP 之不知名人士，全部以「妨害電腦使用罪」告到法院檢察署，從此中華電信為我 32 個靜態 IP 看門，和解時中華電信又送我 32 個靜態 IP。直到現在，我再也沒有收到過類似垃圾郵件。

[ 本帖最后由 Kyan 于 2010-12-21 03:09 编辑 ]

作者: mynetway 时间: 2010-12-21 09:24
给楼上一个建议，把那两个URL隐去，只因为不想变相帮它广而告之。(或者用个拷屏的图片替代它)
我很高兴我们谈论到这个话题，但是我对你所说的只因为Made in China的意见略有出入。从各大权威机构统计的数据可知，全球垃圾邮件最大产生国是美国，其次巴西、印度、英国等，中国还排不上名次。在计算机方面，中国向来都是在模仿而未曾超越，计算机立法同样也是。

只是我们受上述制造垃圾者所害，恐怕最大的原因就是都在同一个时区使用同一种语言。在中国大陆，维权的成本相当的高，我们都很庆幸你能有上述成功的案例。当然不同的法律框架我们没办法讨论，如果你碰到“谁主张谁举证”恐怕你的32个静态IP也子虚乌有了。

现有条件下，我们只能在攻和防方面做得完善完善再完善，因为这本身就是个此强彼弱零和游戏。这在任何国度也是成立的，否则Microsoft也不会出ISA Server了不是？

作者: Kyan 时间: 2010-12-21 12:29

原帖由 mynetway 於 2010-12-21 09:24 發表
給樓上一個建議，把那兩個URL隱去，只因為不想變相幫它廣而告之。(或者用個拷屏的圖片替代它)
我很高興我們談論到這個話題，但是我對你所說的只因為Made in China的意見略有出入。從各大權威機構統計的數據可知，全 ...

我把這兩個 URL 列出來，只是用來證明我對這些軟件說是中國製造不是胡謅的。

我是學法的，當然我知道舉證法則，我把 Log 檔列印出來就是證據，我的 Log 檔可與 ISP 的 Log 檔比對印證，誰也不能做假。

我原有 32 靜態 IP 是我每月化新臺幣四千六百元買的，用不了這麽多。至於 ISP 送的 32 個靜態 IP 我根本用著，有也好，沒有有也也好，這不是重點。重點我要他們承認處理不當，以後不得再犯。

作者: mynetway 时间: 2010-12-21 13:18
希望您知道SEO的相关信息，我没有一丝怀疑你的专业以及所列证据。我建议拷屏贴图的方式，相信拥有同样的说服力。
在一个信息、流量达到一定层度的站点，相当容易被搜索引擎蜘蛛爬虫关注。尽管我们很无意，很不情愿，但事实上是帮这个网站做了推广。您可以搜索一下网站的PR值的构成元素。相当于假如我想找个能暴力猜测别人服务器帐户的软件，我搜索出来的结果是您提供的URL，请问是否这样做不太合适？

我仍然不同意您所说这些软件都是中国制造，如果您可以偿试搜索一下SMTP暴力破解，想必和我电脑上显示的结果相似，出来大多此类软件是英文版本。您用的不恰当的字眼在于”都“，哪怕我举例美国某一人是强奸犯是不能证明美国人都是强奸犯。您所理解的举证法则事实上和我们这边所执行的不一样，比如我今天欠你钱，你须在法院上证明1、我确实有欠你钱；2、我的经济资产状况，比如我名下有房产、汽车等等。就像你想告中华电信，你要举证其时此IP是他所用且电脑有开机一样困难。

最后，谢谢你的意见，并恳请考虑我的建议。

作者: wxhsh 时间: 2010-12-21 13:27
k一出手，讨论什么问题都变味了。

作者: Kyan 时间: 2010-12-21 14:41

原帖由 wxhsh 於 2010-12-21 13:27 發表
k一出手，討論什麼問題都變味了。

非常抱歉！我懂的不會比你少。希望你對事，不要對人，拉破臉大家不好看。

作者: Kyan 时间: 2010-12-21 15:10

原帖由 mynetway 於 2010-12-21 13:18 發表
希望您知道SEO的相關信息，我沒有一絲懷疑你的專業以及所列證據。我建議拷屏貼圖的方式，相信擁有同樣的說服力。
在一個信息、流量達到一定層度的站點，相當容易被搜索引擎蜘蛛爬蟲關注。儘管我們很無意，很不情願， ...

即使這些可以寄發大量垃圾郵件的軟件，原始不是出自中國，但不可否認是經由中國的聰明人加工以後把它改成簡體中文版。猶如你所說的：「實際上寫這種程序並沒有什麼難度，我花不用一小時就能寫出來」。可是，你並沒有寫這種程序。這也就是說「好者恆好」，「壞者恆壞」。所以，對於這兩個 URL 並無因果關係，況且從我上面的言詞裡，亦無為該兩 URL 推廣的詞句。自不能以臆測的心態來解讀我的回覆。

我不會反對你以任何暴力方式來破解我的 SMTP，但是我有信心你不會成功。

作者: mynetway 时间: 2010-12-21 15:24

原帖由 Kyan 于 2010-12-21 15:10 发表

即使這些可以寄發大量垃圾郵件的軟件，原始不是出自中國，但不可否認是經由中國的聰明人加工以後把它改成簡體中文版。猶如你所說的：「實際上寫這種程序並沒有什麼難度，我花不用一小時就能寫出來」。可是，你並 ...

从您所谓的“自信”我反而看到强烈的自卑感，虽然您可以坚决地否认。
我对您的SMTP没有丝毫的兴趣，假如您想做这方面的攻防实验，建议您移步一些关注黑客、破解的网络社区。

我显然很有耐心地跟你讲不要贴出URL的理由，似乎您忽略了它。
尽管如此，不要紧。
虽然我很不欣赏，但尊重你的坚持。
这话题，到此为止。

作者: wxhsh 时间: 2010-12-21 15:27
唉，本来只是想劝架，结果还把自己搭上了，对待K大，还是不理的好。

作者: 398312463 时间: 2010-12-21 22:16
真的是好帖子，支持mynetway！！困了几个月的谜团终于解开了……

作者: jlzsoft 时间: 2010-12-24 09:34
看多了也就不奇怪了
果然是K大连我这MD新人都能通过几个帖子了解其性格
SEO的无知者
这里是简体中文的大陆邮件论坛而不是适用你台湾本地情况的繁体站。

我所知道的论坛管理员规范中有这么一条非特殊情况论坛内容中带有其他网站链接的一律删除

作者: jlzsoft 时间: 2010-12-24 09:37
另外支持下楼主
前阵我也遇到了这个问题
对外的几个邮箱由于使用者图省事设了123456的密码而被盗用发垃圾邮件
发现后强制要求修改密码解决

这问题估计也只能去要求他们改密码最有效了。

作者: lhwm 时间: 2010-12-24 10:17
樓主的貼很是好，頂一個！！！

前段時間我們公司也被“喝血”了。。。現在還有IP正在嘗試使用本公司某帳戶發信件！！！只是某帳戶不存在！

作者: Kyan 时间: 2010-12-25 19:51

原帖由 jlzsoft 於 2010-12-24 09:34 發表
看多了也就不奇怪了
果然是K大連我這MD新人都能通過幾個帖子瞭解其性格
SEO的無知者
這裡是簡體中文的大陸郵件論壇而不是適用你台灣本地情況的繁體站。

我所知道的論壇管理員規範中有這麼一條非特殊情 ...

像你這樣狹窄的民族觀，你們中央為什麼一直派人來臺灣，幹嗎？

作者: mynetway 时间: 2010-12-25 20:09
还上升到民族高度了

作者: mynetway 时间: 2010-12-25 23:29
相信论坛里有很多像我一样的“新人”，虽然注册有段时间，但对这里的环境不是很熟悉。
在此之前我根本不知有K这个人，不过刚才花几分钟了解了一下，算知道了些论坛臭名昭著的历史。
详见：
http://www.google.com.hk/search? ... ;source=hp&sa=2

在这个网站学了几年，现在稍懂了些，所以尽我的绵薄之力，把我遇到的问题与各位分享，是以才会发贴。
不想一个技术站点，技术贴子发展到口水甚至民族的高度。
虽然网络是匿名的，但不要随意漫骂攻击，因为历史会把你钉在耻辱柱上的。

谨以此献给不知SEO以及搜索引擎用法的人。

作者: yon 时间: 2010-12-26 04:33
不知道MD11.03版本是否有这个漏洞. 我暂时没发现遇到这种情况.

作者: yon 时间: 2010-12-26 04:34
官方升级更新太慢了，起码感觉有1年没更新了，更新的版本也没太多改变. 不知道是否MD瘫痪了？

作者: yon 时间: 2010-12-26 04:37
我也正准备起诉中国电信. 正撰写起诉书. 研究法律问题...

作者: x12312x 时间: 2011-1-4 20:44
论坛活跃是好事情啊哈

作者: mill123 时间: 2011-1-6 10:09
额，真的是很活跃啊~！

作者: lwz_08 时间: 2011-1-6 13:28
Kyan
这个无耻的家伙怎么又出来闹事了？

不是号称牛B的人嘛，既然这么牛B，这里不需要装B的人

作者: mynetway 时间: 2011-10-18 17:03
一年以后再回来，发现还是很多人困扰于此事。
在此挖个坟，也对站内给我私信、求助于我的朋友说声抱歉。我确实很久没来，也就不一一回复了。
如果要找我可以联系QQ：22200150

作者: Kyan 时间: 2012-12-19 00:30

lwz_08 发表于 2011-1-6 13:28
Kyan
这个无耻的家伙怎么又出来闹事了？

我覺得你不是中國人，你們偉大的毛主席都會讀寫繁體中文，而你卻不會。龜孫啊！該多學一點吧，否則不像是個「人」—— 中國「人」。你說我無恥，請你舉例出來：是我幹了你媽？還是玩了你老婆？否則，就是你無恥。你是中國人中最無恥的一個，還死不要臉的賴在論壇裡，因而使「釘子」臉上無光{:soso_e184:}

欢迎光临邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)