事件起因
在近期的系统维护工作中我们发现,邮箱弱口令的问题已亟待解决,其影响主要体现在以下几个方面:
1、院邮件系统的IP地址屡被外域邮件服务器及实时黑名单组织屏蔽,影响了中科院用户与部分国内外邮件系统之间的邮件往来。在申诉过程中,我们从对方的回复信息中得知,院邮件系统的许多邮箱被垃圾邮件发送者利用,通过SMTP方式来发送垃圾邮件。日志查询结果显示,确有许多院邮件系统的邮箱被利用发送垃圾邮件,而且发送过程都通过了系统的SMTP认证。
2、在日常系统监控过程中,我们发现垃圾邮件发送者使用庞大的弱密码库不停地猜测用户邮箱的密码,一旦邮箱密码比对成功,此邮箱就会被利用发送垃圾邮件。
3、通过与中国互联网协会反垃圾邮件中心进行沟通交流,我们了解到,不法分子利用弱口令邮箱来发送垃圾邮件已成为各大运营商普遍遇到的问题。
种种迹象说明,为加强用户邮箱的使用安全,解决邮箱弱口令问题已迫在眉睫。
弱口令邮箱存在原因
院邮件系统是服务于中国科学院各所属单位的邮件系统,采取分级管理的模式。中国科技网负责院邮件系统的运行和维护,各单位的网管负责本单位用户邮箱的管理,例如创建邮箱,删除用户,为邮箱修改密码等。在院邮件系统中,弱口令邮箱的存在原因主要有以下几个方面:
1、在进行邮件系统迁移过程中,所有用户信息(例如邮箱名称,邮箱密码等)都是根据各单位网管提供的数据加以导入。如果用户邮箱原有的密码比较简单,则导入院邮件系统后就成为弱口令邮箱。
2、各单位在创建新邮箱时,有时会将“123456”等弱口令设置为邮箱的初始密码,如果用户没有及时对密码进行修改,则此类用户也就成为了弱口令用户。
3、用户本身没有重视邮箱的使用安全,设置的邮箱密码非常简单。
采取的措施
发现邮箱弱口令的问题后,院邮件系统及时向各用户单位的网管发送了主题为《请督促单位用户修改邮箱弱口令》的邮件。请各单位的网管督促本单位的用户及时修改个人邮箱的弱口令,不要使用简单的数字、字母作为邮箱的口令,应将其设置成较为复杂的形式,例如:字母和数字混合或无规律排列的方式,以避免邮箱被垃圾邮件发送者盗用的情况。
随后,院邮件系统又向全体用户推送了主题为《请修改邮箱弱口令》的邮件。其中说明,由于反垃圾邮件发送者采用了猜测邮箱密码,通过现有的正规邮件服务器大量发送垃圾邮件。为加强个人邮箱的使用安全,请及时修改邮箱的弱口令,同时对计算机进行杀毒操作,避免盗号木马盗取邮箱的密码。
在向网管及用户推送了相关提醒邮件后,我们在系统日志记录中,仍发现有许多邮箱通过SMTP方式向外域大量发送垃圾邮件。为防止院邮件系统的服务器被外域屏蔽,我们对相关邮箱进行了汇总整理,屏蔽了其SMTP 发送邮件的功能,保留其webmail发送邮件的功能。向其发送主题为《院邮件系统提醒您修改邮箱的弱口令》的通知邮件,要求相关用户及时将邮箱密码修改为字母,数字混合的无序排列的方式,以避免邮箱被利用来发送垃圾邮件。同时建议他们使用杀毒软件全面扫描个人电脑,防止木马病毒盗取邮箱密码的情况。此通知邮件也同时抄送用户所在单位的网管。当用户修改了邮箱密码后,可登录http://mail.cstnet.cn,输入邮件地址及邮箱密码,进入个人邮箱,回复邮件到support@cstnet.cn,系统会恢复邮箱的SMTP发送邮件功能。
不仅如此,我们也积极加强了对系统日志的监控,及时汇总密码被猜中的用户邮箱,分别向各单位网管发送主题为《请通知用户修改邮箱弱口令》的邮件,在邮件中明确提供了弱口令用户名单。同时说明,在院邮件系统中,用户邮箱的弱口令主要有以下三种形式:
(1)邮箱密码为简单的数字组合(如:123456、123456789、111111、123123等);
(2)邮箱密码为简单的英文单词、字母和数字组合(如:password、iloveyou、qwerty、abc123等);
(3)邮箱密码与用户名相同,或者采用用户名与简单的数字组合作为邮箱密码(如:username1、username2、username123、username111等)。
今后的工作
1、在每日8点,13点,16点分别监控系统用户通过SMTP方式发送邮件的情况。汇总SMTP异常发送邮件的记录,列出发送邮件的数量,发件人邮箱,邮件主题以及邮件大小等信息。
2、根据监控记录,汇总通过SMTP方式向外域大量群发垃圾邮件的用户邮箱,向其发送主题为《院邮件系统提醒您邮箱邮箱的弱口令》的邮件。其中列出其发送垃圾邮件的日志,说明为防止院邮件系统被国内外邮件服务器屏蔽,已封锁了发件邮箱的SMTP发送邮件功能,保留webmail发送邮件功能,要求发件邮箱尽快修改邮箱弱口令,同时对计算机进行杀毒处理。《院邮件系统提醒您邮箱邮箱的弱口令》同时抄送相关单位的网管。
3、不断完善系统功能。现有webmail中,已在用户修改邮箱密码时,对密码强度提供了“弱、中、强”的判断,以协助用户对口令进行设置。今后,系统将添加密码强制设置模块,将不再允许为邮箱设置弱口令。
通过院邮件系统采取的一系列措施,有效防止了用户邮箱因密码被猜中而被利用发送垃圾邮件的情况,切实加强了用户邮箱的使用安全,得到了广大用户及各单位网络管理员的肯定与好评。今后,院邮件系统将继续坚持“全面细致 用户满意”的宗旨,努力提供更加优质的邮件服务。
|