帐号安全遐想--写给帐户被盗来发垃圾邮件的朋友

mynetway

邮箱用户帐号被盗在近期愈演愈烈，相信很多人都碰到了。我自9月底开始关注，然后刚好国庆假期，接下来公司旅游基本整一个月都没多少机会坐在电脑前。直到11月觉得事态严重，解决了并在此站发了篇解决方案。
详见：http://bbs.5dmail.net/thread-191566-1-2.html

然而知已知彼，百战百胜，我们必须关注的是它的原理。
下图是某款SMTP破解软件的图片，为了不为它推广，关键信息我抹去了。



当然现在SMTP探测近乎过时，大多软件均可以动态屏蔽。估计近期被盗的，全改成了POP3探测了。
实际上写这种程序并没有什么难度，我花不用一小时就能写出来。
研究上述SMTP探测的方式我们可以知道：
1、它探测的是mail.domain或smtp.domian、domain域名三种，假如是新建的服务器，直接弄个mailserver-china.domain、email.domain之类的就可以避过此类探测。这种方法很直接有效，虽然别人获得了你的邮箱地址，但需要查询MX记录才能找到服务器IP。
2、它探测的用户有2种@之前及邮件地址全址。这一点跟此前我观察的有些许出入，因此被盗用户有不曾在网上公开过的邮箱。所以它可能不是导入邮箱列表，但估计这种情况不会多。因为帐户、密码均需猜测成本实在太高。最大可能的是服务器软件有BUG，帐户列表被探测到。
3、它有密码字典，#user#就是@之前的帐户名，其他都是些很弱的密码。防范方式就必须是强密码了，但未必需要强到必须有数字、字母还要大小写等强度，强密码也是带给用户最麻烦的一种方式。当用户接受不了的时候，我们可以给他们点建议，弄个密码字典。
说点题外话：
我公司有位同事，中层。因为年龄不小了，对数字不太敏感，信用卡的查询密码总忘。我给他的建议是：不要用生日、不要用电话号码、也不要用家人的生日电话等。因为在国内，身份证电话等一些信息保密实在有限。我建议他取一个城市的邮政编码，要是自己忘了，拿起台历找那个城市的邮政编码就好了。

另外的一点建议，给它弄点陷井：
有些邮箱是不需要外发权限的，而md刚好有这个功能。我们的hr@domain邮箱就是不可以有外发权限，只是专门用来收简历。假如你们公司没有这邮箱也不要紧，找些常有，但你们没用到的邮箱建起来，比如：info@domain、webmaster@domain、sales@domain之类的，一定要弱密码。虽然它可以探测到，但没有外发权限也是没用的。发垃圾邮件的虽然是通过软件发送，但软件也是害怕坏进程，遇上这样的错误多了它的效率就没有了，低成本的情况下恐怕它的软件也运行不下去了。

[ 本帖最后由 mynetway 于 2010-12-20 12:21 编辑 ]

wxhsh

非常好的方案，我这里人事的邮箱是重灾区，并且还要改变管理员习惯，初始密码不能和用户名一样。偶这里以前没注意，惨痛啊，查了下，90%以上的用户没有改过初始密码。。。。。。汗

钉子

不错。支持一下。我也遇到很多客户有这种问题，有一些是SMTP配置不正确，更多的是密码策略造成的。

xieyy

我现在做好邮件服务器之后开始分配账户，密码全部使用姓名缩写加乘法口诀表，很多用户根本就不改初始密码，没办法，你要想周全点。

Kyan

原帖由 mynetway 於 2010-12-20 12:14 發表並‧
郵箱用戶帳號被盜在近期愈演愈烈，相信很多人都碰到了。我自9月底開始關注，然後剛好國慶假期，接下來公司旅遊基本整一個月都沒多少機會坐在電腦前。直到11月覺得事態嚴重，解決了並在此站發了篇解決方案。
詳見：h ...

事實上這些軟件都是中國製造（Made in China），會收到垃圾郵件又能怪得了誰？只能說中國人太聰明了，但是卻沒有把聰明用在正途上。請看這兩個網站：http://www.100wmail.com/ ； http://www.1234m.com/mail.htm

我在台灣也曾是這個軟件的被害者，我先查到它的 IP，它使用的是動態 IP，當時不知道使用者的真實身份（後來由 ISP 查到他的姓名，原來他是來自福建省福州市）。因此，我把 ISP 中華電信前任總經理（現任董事長）、中華電信數據分公司經理、資訊安全室主任及使用該動態 IP 之不知名人士，全部以「妨害電腦使用罪」告到法院檢察署，從此中華電信為我 32 個靜態 IP 看門，和解時中華電信又送我 32 個靜態 IP。直到現在，我再也沒有收到過類似垃圾郵件。




[ 本帖最后由 Kyan 于 2010-12-21 03:09 编辑 ]

mynetway

给楼上一个建议，把那两个URL隐去，只因为不想变相帮它广而告之。(或者用个拷屏的图片替代它)
我很高兴我们谈论到这个话题，但是我对你所说的只因为Made in China的意见略有出入。从各大权威机构统计的数据可知，全球垃圾邮件最大产生国是美国，其次巴西、印度、英国等，中国还排不上名次。 在计算机方面，中国向来都是在模仿而未曾超越，计算机立法同样也是。

只是我们受上述制造垃圾者所害，恐怕最大的原因就是都在同一个时区使用同一种语言。在中国大陆，维权的成本相当的高，我们都很庆幸你能有上述成功的案例。当然不同的法律框架我们没办法讨论，如果你碰到“谁主张谁举证”恐怕你的32个静态IP也子虚乌有了。

现有条件下，我们只能在攻和防方面做得完善完善再完善，因为这本身就是个此强彼弱零和游戏。这在任何国度也是成立的，否则Microsoft也不会出ISA Server了不是？

Kyan

原帖由 mynetway 於 2010-12-21 09:24 發表
給樓上一個建議，把那兩個URL隱去，只因為不想變相幫它廣而告之。(或者用個拷屏的圖片替代它)
我很高興我們談論到這個話題，但是我對你所說的只因為Made in China的意見略有出入。從各大權威機構統計的數據可知，全 ...

我把這兩個 URL 列出來，只是用來證明我對這些軟件說是中國製造不是胡謅的。

我是學法的，當然我知道舉證法則，我把 Log 檔列印出來就是證據，我的 Log 檔可與 ISP 的 Log 檔比對印證，誰也不能做假。

我原有 32 靜態 IP 是我每月化新臺幣四千六百元買的，用不了這麽多。至於 ISP 送的 32 個靜態 IP 我根本用著，有也好，沒有有也也好，這不是重點。重點我要他們承認處理不當，以後不得再犯。

mynetway

希望您知道SEO的相关信息，我没有一丝怀疑你的专业以及所列证据。我建议拷屏贴图的方式，相信拥有同样的说服力。
在一个信息、流量达到一定层度的站点，相当容易被搜索引擎蜘蛛爬虫关注。尽管我们很无意，很不情愿，但事实上是帮这个网站做了推广。您可以搜索一下网站的PR值的构成元素。相当于假如我想找个能暴力猜测别人服务器帐户的软件，我搜索出来的结果是您提供的URL，请问是否这样做不太合适？

我仍然不同意您所说这些软件都是中国制造，如果您可以偿试搜索一下SMTP暴力破解，想必和我电脑上显示的结果相似，出来大多此类软件是英文版本。您用的不恰当的字眼在于”都“，哪怕我举例美国某一人是强奸犯是不能证明美国人都是强奸犯。您所理解的举证法则事实上和我们这边所执行的不一样，比如我今天欠你钱，你须在法院上证明1、我确实有欠你钱；2、我的经济资产状况，比如我名下有房产、汽车等等。就像你想告中华电信，你要举证其时此IP是他所用且电脑有开机一样困难。

最后，谢谢你的意见，并恳请考虑我的建议。

wxhsh

k一出手，讨论什么问题都变味了。

Kyan

原帖由 wxhsh 於 2010-12-21 13:27 發表
k一出手，討論什麼問題都變味了。

非常抱歉！我懂的不會比你少。希望你對事，不要對人，拉破臉大家不好看。