web-dev-qa-db-fra.com

Compte de messagerie sous attaque (vraiment) - que puis-je faire?

Au cours de la dernière semaine, il y a un barrage constant d'échecs d'authentification à mon compte de messagerie à partir d'une variété d'adresses IP - généralement par blocs d'exactement 575 tentatives.

Mon mot de passe est aussi fort qu'un mot de passe peut l'être, donc les chances de gagner par force brute sont infinitésimales. Cependant, en raison des échecs d'authentification, mon hébergeur continue de verrouiller le compte de messagerie.

Y a-t-il quelque chose que je peux faire (ou que je peux demander à mon hébergeur de faire), ou suis-je juste foutu jusqu'à ce que le botnet continue? Toute personne ayant une expérience similaire qui peut dire si je peux m'attendre à ce que cela se termine?

EDIT: Après environ 9 jours, j'ai soudainement cessé d'être verrouillé et le ticket a été fermé. Je suppose qu'ils ont fini de "tester" les nouvelles politiques/systèmes et ont appuyé sur le bouton de restauration?

Je ne suis pas content que le support ait insisté sur tant de dépannage de ma part alors que tout semble avoir commencé après une refonte de la sécurité de leur côté, mais c'est comme ça que ça se passe toujours ...

81
clemdia

Quelques réflexions:

  • Habituellement, ma première recommandation serait de choisir un mot de passe extrêmement fort. Mais vous avez déjà couvert cela.
  • S'il existe une authentification à deux facteurs, activez-la. Si vous êtes chanceux, cela pourrait faire de vous une cible peu attrayante et faire avancer l'attaquant.
  • Si le verrouillage du compte n'affecte pas les autres méthodes de lecture de votre courrier, comme via IMAP, vous pouvez passer à celui-ci pour maintenir l'accès. (Pour être honnête, je ne connais pas grand-chose à la sécurité d'IMAP, vous devriez donc peut-être y penser avant de l'activer.)
  • Le transfert du courrier ailleurs vous permettra également de le lire même si votre compte est verrouillé.
  • Enfin, vous pouvez essayer de contacter votre fournisseur de messagerie. Je pense que votre meilleur pari ici est de simplement leur décrire le problème et de leur demander ce qu'ils peuvent faire pour vous aider.
52
Anders

Non, c'est à peu près le bruit de fond d'être sur Internet.

À partir d'un serveur aléatoire que j'ai avec e-mail:

$ Sudo grep -c "auth failed" /var/log/mail.log
1109

C'est aujourd'hui. C'est avec fail2ban bloquant plus de cinq tentatives à partir de la même IP.

35
vidarlo

tl/dr: C'est le problème de votre hébergeur, pas le vôtre. Vous devrez les contacter pour le réparer. Leurs politiques de sécurité ne devraient pas vous exclure de votre propre compte. Ils doivent améliorer la sécurité.

Vous avez déjà quelques réponses avec lesquelles je suis d’accord et qui couvrent les aspects techniques de cela, mais je jette une autre réponse pour couvrir un élément "professionnel". Ici, vous touchez le nœud du problème:

Cependant, en raison des échecs d'authentification, mon hébergeur continue de verrouiller le compte de messagerie.

En d'autres termes, le problème n'est pas votre problème. Vous avez fait tout votre possible pour sécuriser votre compte sur le serveur de messagerie de quelqu'un d'autre - vous utilisez un mot de passe fort qui ne peut pas être forcé brutalement. Le problème sous-jacent ici est que votre hébergeur a mis en place une mauvaise politique de sécurité. Comme l'a mentionné @vidarlo, ce n'est que le bruit de fond d'Internet. Votre hébergeur doit le savoir. Malheureusement, la réponse choisie a pour effet secondaire de vous exclure de votre compte.

En substance, la combinaison du choix des politiques de sécurité de votre société d'hébergement et de l'analyse de mot de passe standard qui arrive à chaque serveur sur Internet a entraîné un déni de service (DoS) de votre courrier électronique. Si votre e-mail tombait en panne parce que quelqu'un tentait un DoS réel de votre fournisseur d'hébergement et remplissait ses réseaux de bande passante inutile, la solution serait assez simple. Vous ne seriez pas ici pour demander ce que vous pouvez faire pour résoudre le problème - vous devriez parler à votre fournisseur et lui demander de le résoudre. Après tout, l'intérêt d'utiliser un fournisseur de services de messagerie tiers est pour eux de vous fournir un service. Si vous ne recevez pas ce service, soit parce que leurs serveurs sont tombés en panne, soit parce que leur réseau est paralysé par un DoS, soit parce que leur politique de sécurité est trop zélée et vous bloque de votre compte, alors la seule vraie solution est pour votre hébergeur pour le réparer et vous fournir le service que vous lui payez.

Beaucoup de questions que nous obtenons ici sont le résultat de personnes qui ignorent la sécurité tous ensemble. Cependant, il y a beaucoup plus d'exemples de personnes qui essaient de faire de la sécurité mais qui le font mal. C'est l'un de ces derniers. Par conséquent, vous devez absolument parler à votre fournisseur d'hébergement et le faire réparer. S'ils ne peuvent pas vous fournir le service pour lequel vous payez, vous devez passer à un fournisseur qui le fera (bien que, espérons-le, ce ne soit pas le type de fournisseur qui ne fait tout simplement pas de sécurité).

26
Conor Mancone

Oui, c'est assez facile d'avoir votre adresse e-mail officielle pour transférer vos e-mails vers un nouveau compte de messagerie "graveur". Ensuite, dans la nouvelle configuration du compte de messagerie, vous définissez votre champ De: sur votre adresse e-mail officielle. De cette façon, les mails sortent comme ça.

 From: [email protected]
 Subject: Re: so-and-so
 In-Reply-To: <[email protected]>
 Sender: [email protected]

Ou quelque chose comme ça.

Quoi qu'il en soit, cela vous permet de garder votre identité à l'adresse e-mail officielle. Les attaques contre le serveur de connexion ne sont pas pertinentes pour la réception et le transfert de courrier électronique.

Comme il ressort de ce qui précède, votre nouvelle adresse e-mail peut être évidente à partir des en-têtes donc ne configurez pas de répondeur automatique . Ne correspondez qu'avec des personnes de confiance. Si ce compte de messagerie du graveur est attaqué, jetez ce compte de graveur, configurez-en un autre et dites au serveur de messagerie officiel de le transférer vers le nouveau graveur.

Ensuite, recherchez à qui vous avez envoyé du courrier au cours des 2 derniers jours sur le dernier compte du graveur. L'un d'eux l'a compromis. Utilisez une tactique ou une autre pour les inciter à attaquer ce compte de brûleur ou un autre, ce qui vous permet de distinguer exactement qui l'a fait.

Cela dépend de votre fournisseur et de ce qu'il est prêt à faire.

Si vous aviez une adresse IP statique, vous pouvez leur demander de mettre votre adresse IP en liste blanche. Peut-être même votre CIDR, mais si vous en faites trop, une partie du mauvais trafic peut commencer à passer.

Après tant de tentatives, votre fournisseur devrait temporairement interdire les adresses IP qui les attaquent. Désormais, les pirates ont le choix entre des milliers voire des dizaines de milliers d'IP, mais ils pourraient éventuellement les bloquer tous.

De toute évidence, votre fournisseur a besoin d'une meilleure protection contre les DDOS.

0
cybernard