中科大邮件系统安全事件分析及应对

网络安全

中科大：邮件系统安全事件分析及应对

文/陈蕾 程雨 张焕杰

垃圾邮件事件

近期不少学校反映邮件系统被黑客尝试登录，进而利用正

常账号发送垃圾邮件的安全事件。此类针对邮件系统的安全事

件不是近期开始发生的，早在2016年中科大邮件系统就观察到

国内部分城市大量的IP地址尝试登录问题。初步判断为有黑客

试图通过穷举法来获取密码简单的用户密码。为此做了如下应

对处理：

1. 对于连续尝试密码错误的IP地址，禁止使用POP/IMAP/

SMTP等客户端方式登录，封禁的时间随错误的次数逐步变长。

对于多个IP地址进行尝试的网段，直接禁止该网段的IP使用

客户端登录。以上封禁的IP地址，在/

有记录（早期封禁记录已经删除，目前看到的是

2019年2月开始的记录）；

2. 定期统计当日用户发邮件数量及IP来源数量，超过一定

的阈值一般是密码泄漏，强制更改用户密码；

3. 向管理机构反映该问题，管理机构答复因未造成明显损

失，不方便处理。

上述1、2处理均由程序自动完成，一定程度上缓解了用户

账号被黑客登录的行为。

2017年7月至今,已经强制修改了约3500个账号的密码，

表1是各个时间段强制修改密码用户的数量统计。

从统计可以看到，2020年出现异常的邮件账号数量急剧变

多。发送的垃圾邮件内容，集中在网络赌博、网络贷款、网络诈

骗话题。其他高校也均反馈有类似问题，且近期急剧增多。

这种密码泄漏，通常是以下5种途径：

途径1: 服务器端密码泄漏。服务器被攻击导致加密的密码

表1 强制修改密码用户的数量统计

2017年173个7月-12月

2018年1148个

2019年1009个

2020年1378 个截至5月8日

64

中国教育网络 2020.6

库泄漏，攻击者可以通过碰撞手段获取密码强度不高的密码；

途径2: 用户密码简单，被黑客持续尝试后获取；

途径3: 用户访问邮件系统时未使用加密传输方式，在不安

全的网络环境下，黑客截取传输过程中的数据直接获取密码；

途径4: 用户在其他网站使用了相同的密码，其他网站的密

码泄漏导致密码泄漏；

途径5: 用户的终端被安装了恶意木马软件，该软件窃取了

用户输入的密码。

其中，途径1属于邮件服务器安全，与用户不直接相关；

途径2则与服务器和用户都有关系；途径3~途径5，则是用户

原因，单独加强服务器安全并不能解决问题。

为了排除途径1，并了解用户使用简单密码的总体情

况， 4月份开发了密码碰撞程序(/bg6cq/

checkwkpass)，对学校邮件系统8.5万个账号进行弱密码测试。

碰撞的密码共170多万个，测试需要的运算量较大，经优化后

在学校超算中心10台服务器上30秒钟可以执行一轮测试。4

月份碰撞测试并进行后续处理，弱密码的用户数变化如表2。

从表2可以推测，假如黑客曾经获取过服务器上的加密密

码库，可以很轻松获取近万人的有效密码。因此途径1服务器

被攻击泄漏密码的可能性很小。

目前，仍有3100多个用户使用的是弱密码，我们会继续

表2 用户数变化

4月8日7497发邮件通知用户修改

4月9日7248

4月11日7198

4月12日7179

4月13日7165发邮件通知用户修改

4月17日6637

发邮件通知用户修改，

强制修改1754个离校用户弱密码

4月20日5935

4月24日4090

发邮件通知用户修改，

强制修改646个123456弱密码

4月24日3373

4月26日3338

4月28日3305

5月9日3152