自建邮箱被黑了,我不理解

2022-10-28 16:08:04 +08:00
 AoEiuV020CN

首先是邮箱管理员账号转发了邮件发送超时的警报邮件到我的 gmail ,然后发现邮箱服务器昨晚开始 cpu 占用持续 100%,

服务器关机休息一会儿再开 cpu 就正常了,但邮件无法发送到 gmail 了,

之后检查邮件发现,是我一个测试账号一直在发邮件到各种各样奇怪的邮箱地址,虽然已发邮件中没有内容,但光是投递失败的退信就吃完了默认分配的 1G 空间,

虽然吧,邮箱服务器是公网开放的,测试账号密码是弱口令的,但这邮箱正常用户只有我一个人,测试账号也只是我自己给我自己发测试邮件用的,应该裸奔有一年了,完全想不到怎么泄露的,

看了一下滥发的邮件内容,都是一模一样的打招呼,想不到对方的目的,

Hello,

  I have sent numerous emails to you and no response= have been received. Please kindly let me know if you received this.=

Kind Regards,
Mr. Fhadi Busheri

而收件人的地址,就没有一个正常点的域名,都像是内部使用的,感觉主要是 postmaster 自建的邮箱系统或者被谷歌之类报 550 拒收的退信,
光来自 aspmx.l.google.com 这个域名的拒收退信就有 8000 封,但收件人地址都不是谷歌的,是谷歌有卖反垃圾邮件系统?

目前暂且改了个密码,加了 1G 空间,看看有没有后续,

5204 次点击
所在节点    程序员
32 条回复
learningman
2022-10-28 16:40:32 +08:00
这种打招呼是为了筛选活跃的邮箱,你要是回了,下一封就该告诉你我得了癌症有 1000 万美元准备捐了
WordTian
2022-10-28 17:03:16 +08:00
既然有弱密码,那肯定就是被自动化扫描工具暴力猜解出来了。现在网络上的攻击行为都是很自动化的
AoEiuV020CN
2022-10-28 17:10:15 +08:00
@learningman #1 啊你提醒到我了, 邮件可以指定回复地址不是我的邮箱而是黑客的邮箱,
刚看了一下,每一封都有指定同一个地址,看来这就是黑客的邮箱了,

Reply-To: basharm1967@outlook.com
Senorsen
2022-10-28 17:23:39 +08:00
像 ls 说的,现在的扫描攻击行为高度自动化了,具体来说,你的域名可能能通过网络检索、SSL 证书颁发记录等多种手段获取到,搭建的应该也是广泛使用的开源的邮件服务端,爆破账号、滥发邮件等的攻击脚本早就千千万了
tunggt
2022-10-28 17:37:36 +08:00
端口被扫到了,你又用弱密码。这个密码尽量复杂一点。
AoEiuV020CN
2022-10-28 17:41:13 +08:00
@tunggt #5 确实欠考虑了,正常在用的账号密码有相对复杂,
这个测试账号主要是测试的时候频繁在各种应用中登录,为了方便输入密码,就干脆 test:test123456 了,
AoEiuV020CN
2022-10-28 17:42:52 +08:00
@AoEiuV020CN #6
test:test123456 是账号 test 密码 test123456 ,
des
2022-10-28 17:46:42 +08:00
“虽然吧,邮箱服务器是公网开放的,测试账号密码是弱口令的”

你怎么敢的啊,在公网上就得做好准备
AoEiuV020CN
2022-10-28 17:51:06 +08:00
@des #8 确实有点心大了,一来没什么价值,二来没什么被攻击经验,三来这个账号一开始是打算测完就删除的,只是用完懒得删了,
DianQK
2022-10-28 17:51:46 +08:00
只暴露 25 和一个 ss/wireguard 端口?然后以“内网”形式访问 web 邮箱服务?我是这样搞的
AoEiuV020CN
2022-10-28 17:54:37 +08:00
@DianQK #10 这种级别的安全性,我只在家里的公网 ip 这么搞,服务器终究还是提供方便用的,真被攻击了以后可能需要注意点,以前是确实觉得没必要,
des
2022-10-28 17:55:16 +08:00
甚至我都能给你演示一遍怎么做到的

首先扫描的 IP 地址,发现 443 端口是通的
然后请求 https://你的 IP ,得到域名
然后请求你域名的 mx 记录,得到你的邮箱服务 IP ,弱密码账号扫描
GG

并且以上都是自动化的,互联网上就是这样子,得时时刻刻做好防御
des
2022-10-28 17:55:52 +08:00
@AoEiuV020CN 你这都用了一年还叫用完就删?
AoEiuV020CN
2022-10-28 18:00:46 +08:00
@des #13 毕竟一直没出事,就越来越放心,也就越来越懒得删了,偶尔测试服务器是否正常还会拿出来用一用,
AoEiuV020CN
2022-10-28 18:06:02 +08:00
@des #12 还能 https://你的 IP 这样反查域名的,这我真没想到,
Veneris
2022-10-28 18:24:04 +08:00
@des 为什么要 ip -> 域名 -> ip ,直接扫第一个 ip 端口可以吗
zedboy
2022-10-28 18:27:20 +08:00
请教一下, 用的哪个开源搭建的. 以及服务器配置. 想搭一个玩玩
HFX3389
2022-10-28 18:35:51 +08:00
@AoEiuV020CN #15 因为 https://IP 一般浏览器会告诉你证书不匹配,然后证书上有域名
AoEiuV020CN
2022-10-28 18:40:54 +08:00
@zedboy #17 我用的是 setup.mailu.io 的 docker 搭建的,配置 spf ,dkim 就能过一般的反垃圾邮件了,
不装防病毒服务的话配置要求并不高,我在用的是 ucloud 新人优惠的最便宜乞丐服,CPU 1 核 内存 2G ,
LindsayZhou
2022-10-28 18:40:59 +08:00
@AoEiuV020CN 基本操作了,一般我的 nginx server_name default 响应都是 return 444; 。
你不盯日志的吗,我的邮局没有 web 以前也是天天被扫,后面写了个 fail2ban 把登陆验证失败的 ban 了。

@zedboy 我觉得最好的是 https://maddy.email/ ,精简,资源消耗小,不过 webmail 要自己另外搭。
如果你感兴趣的话,这个是我防止密码扫描的 fail2ban 配置(以 systemd service 启动 maddy )
pb.koi.moe/5D

还有一种是通过扫描,给我域名下的账号发垃圾邮件的。就我自己在用,扫中的几率也不大,就没管了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/890741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX