it-swarm-es.com

Cuenta de correo electrónico bajo ataque (realmente): ¿hay algo que pueda hacer?

Durante la última semana, hay un aluvión constante de fallas de autenticación en mi cuenta de correo electrónico desde una variedad de direcciones IP, generalmente en bloques de exactamente 575 intentos.

Mi contraseña es tan fuerte como una contraseña, por lo que la posibilidad de ganar fuerza bruta es infinitesimal. Sin embargo, como resultado de las fallas de autenticación, mi proveedor de hosting sigue bloqueando la cuenta de correo electrónico.

¿Hay algo que pueda hacer (o que pueda pedirle a mi proveedor de hosting que haga), o simplemente estoy jodido hasta que la botnet se mueva? ¿Alguien con experiencia similar que pueda comentar si puedo esperar que esto termine alguna vez?

EDITAR: después de aproximadamente 9 días, de repente dejé de bloquearme y el boleto se cerró. Supongo que terminaron de "probar" las nuevas políticas/sistemas y presionaron el botón de retroceso?

No estoy contento de que el soporte haya insistido en solucionar tanto el problema cuando todo parece haber comenzado después de una revisión de seguridad al final, pero así es como siempre funciona ...

81
clemdia

Algunas reflexiones:

  • Por lo general, mi primera recomendación sería elegir una extremadamente contraseña segura. Pero ya lo tienes cubierto.
  • Si hay dos factores de autenticación disponibles, actívelo. Si tienes suerte, puede convertirte en un objetivo poco atractivo y hacer que el atacante siga adelante.
  • Si el bloqueo de la cuenta no afecta a otros métodos de lectura de su correo, como a través de IMAP, puede cambiar a ese para mantener el acceso. (Para ser honesto, no sé mucho sobre la seguridad de IMAP, por lo que es posible que desee considerar eso antes de activarlo).
  • Reenviar el correo a otro lugar también asegurará que pueda leerlo incluso si su cuenta está bloqueada.
  • Finalmente, puede intentar contactar a su proveedor de correo electrónico. Creo que su mejor apuesta aquí es describirles el problema y preguntarles qué pueden hacer para ayudarlo.
52
Anders

No. Eso es más o menos el ruido de fondo de estar en Internet.

Desde un servidor aleatorio que tengo con el correo electrónico:

$ Sudo grep -c "auth failed" /var/log/mail.log
1109

Eso es hoy Es con fail2ban bloqueando más de cinco intentos desde la misma IP.

35
vidarlo

tl/dr: Este es el problema de su empresa de alojamiento, no el suyo. Tendrás que contactar con ellos para arreglarlo. Sus políticas de seguridad no deberían bloquearlo de su propia cuenta. Necesitan mejorar la seguridad.

Ya tiene algunas respuestas con las que estoy totalmente de acuerdo y que cubren los aspectos técnicos de esto, pero estoy agregando otra respuesta para cubrir un elemento "comercial". Aquí te encuentras con el quid de la cuestión:

Sin embargo, como resultado de las fallas de autenticación, mi proveedor de hosting sigue bloqueando la cuenta de correo electrónico.

En otras palabras, el problema no es s problema. Ha hecho todo lo posible para asegurar su cuenta en el servidor de correo de otra persona: está utilizando una contraseña segura que no puede ser forzada. El problema subyacente aquí es que su proveedor de alojamiento ha implementado una mala política de seguridad. Como mencionó @vidarlo, esto es solo el ruido de fondo de Internet. Su proveedor de alojamiento debe saber esto. Lamentablemente, su respuesta elegida tiene el efecto secundario de bloquearlo de su cuenta.

En esencia, la combinación de las políticas de seguridad elegidas por su empresa de alojamiento y el escaneo de contraseñas estándar que le sucede a cada servidor en Internet ha resultado en una denegación de servicio (DoS) de su correo electrónico. Si su correo electrónico no funciona porque alguien intentó un DoS real de su proveedor de alojamiento y llenó sus redes de ancho de banda inútil, la solución sería bastante simple. No estaría aquí preguntando qué puede hacer para solucionar el problema: estaría hablando con su proveedor y pidiéndole que lo solucione. Después de todo, el objetivo de utilizar un proveedor de servicios de correo electrónico externo es que le brinden un servicio. Si no se le proporciona ese servicio, ya sea porque sus servidores se cayeron, o porque su red está dañada por un DoS, o porque su política de seguridad es demasiado celosa y lo bloquea de su cuenta, entonces la única solución real es su proveedor de hosting para arreglarlo y brindarle el servicio que le está pagando por brindarle.

Muchas de las preguntas que recibimos aquí son el resultado de que las personas ignoran la seguridad por completo. Sin embargo, hay muchos más ejemplos de personas que intentan hacer la seguridad pero simplemente lo hacen mal. Este es uno de los ultimos. Por lo tanto, definitivamente necesita hablar con su proveedor de alojamiento y hacer que lo arreglen. Si no pueden proporcionarle el servicio que está pagando, entonces debe cambiar a un proveedor que lo hará (aunque con suerte no será el tipo de proveedor que simplemente no hace la seguridad en absoluto).

26
Conor Mancone

Sí, es bastante fácil hacer que su dirección de correo electrónico oficial reenvíe sus correos electrónicos a una nueva cuenta de correo electrónico "quemador". Luego, en la nueva configuración de la cuenta de correo electrónico, configura su campo De: a su dirección de correo electrónico oficial. De esa manera los correos salen así.

 From: [email protected]
 Subject: Re: so-and-so
 In-Reply-To: <[email protected]>
 Sender: [email protected]

O algo así.

De todos modos, eso te permite mantener tu identidad en la dirección de correo electrónico oficial. Los ataques al servidor de inicio de sesión son irrelevantes para recibir y reenviar correos electrónicos.

Como es evidente por lo anterior, su nueva dirección de correo electrónico puede ser obvia en los encabezados , así que no configure un autoresponder . Solo corresponde con personas de tu confianza. Si esta cuenta de correo electrónico del quemador se ve atacada, elimine esta cuenta del quemador, configure otra y dígale al servidor de correo electrónico oficial que reenvíe al nuevo quemador.

Luego, investigue a quién envió el correo en los últimos 2 días a la última cuenta del quemador. Uno de ellos lo comprometió. Use una táctica u otra para engañarlos para que ataquen esta u otra cuenta de quemador, que le permite distinguir quién lo hizo exactamente.

Esto depende de su proveedor y de lo que esté dispuesto a hacer.

Si tuviera una IP estática, podría pedirles que incluyan su IP en la lista blanca. Tal vez incluso su CIDR, pero si hace muchos de esos, parte del mal tráfico puede comenzar a llegar.

Después de tantos intentos, su proveedor debería prohibir temporalmente las direcciones IP que los atacan. Ahora los piratas informáticos tienen miles, incluso 10 de miles de IP para elegir, pero eventualmente podrían bloquearlos a todos.

Obviamente, su proveedor necesita una mejor protección ddos.

0
cybernard