攻撃を受けているメールアカウント（本当に）-何かできることはありますか？

Question

先週、さまざまなIPアドレスからのメールアカウントへの認証失敗が絶え間なく発生しています。通常、正確に575回の試行がブロックされています。

私のパスワードはパスワードと同じくらい強力なので、ブルートフォースで勝つ可能性は非常にわずかです。ただし、認証に失敗した結果、私のホスティングプロバイダーがメールアカウントをロックし続けています。

何かできることはありますか（またはホスティングプロバイダーに依頼することができますか）、それともボットネットが進むまでねじ込みますか？私がこれが永遠に終わることを期待できるかどうかについてコメントできる同様の経験を持つ人は誰ですか？

編集：約9日後、突然ロックアウトされなくなり、チケットがクローズされました。新しいポリシー/システムの「テスト」を終了し、ロールバックボタンを押したのでしょうか？

最後のセキュリティオーバーホールの後に全体が始まったように思われるときに、サポートが私の端で多くのトラブルシューティングを要求したことに満足していませんが、それは常にそうです...

Anders · Answer

いくつかの考え：

通常、私の最初の推奨事項は、非常に強力なパスワードを選択することです。しかし、あなたはすでにそれをカバーしています。
利用可能な2要素認証がある場合は、オンにします。運が良ければ、魅力のないターゲットになって攻撃者が先に進む可能性があります。
アカウントのロックアウトがIMAP経由など、メールを読み取る他の方法に影響を与えない場合は、アクセスを維持するように切り替えることができます。（正直なところ、私はIMAPのセキュリティについてあまり知りません。そのため、有効にする前にそれを検討することをお勧めします。）
メールを別の場所に転送することで、アカウントがロックされている場合でも確実に読むことができます。
最後に、メールプロバイダーに連絡してみてください。ここでの最善の策は、問題を彼らに説明し、彼らがあなたを助けるために何ができるかを尋ねることです。

vidarlo · Answer

いいえ、それはインターネット上にいることのバックグラウンドノイズの大部分です。

私が電子メールで持っているランダムなサーバーから：

$ Sudo grep -c "auth failed" /var/log/mail.log 1109

それが今日です。 fail2banにより、同じIPからの5回を超える試行がブロックされます。

Conor Mancone · Answer

tl/dr：これはホスティング会社の問題であり、あなたの問題ではありません。修正するためにそれらに連絡する必要があります。彼らのセキュリティポリシーはあなた自身のアカウントからあなたを締め出すべきではありません。彼らはセキュリティをより良くする必要があります。

私は心から同意し、これの技術的側面をカバーするいくつかの回答を既に持っていますが、「ビジネス」アイテムをカバーするために別の回答を投入します。ここで問題の核心にぶつかります：

しかし、認証失敗の結果として、私のホスティングプロバイダーはメールアカウントをロックし続けています。

つまり、問題はyour問題ではありません。他人のメールサーバーでアカウントを保護するためにできることはすべて実行しました-強引に強制できない強力なパスワードを使用しています。ここでの根本的な問題は、ホスティングプロバイダーが不適切なセキュリティポリシーを実装していることです。 @vidarloが述べたように、これはインターネットのバックグラウンドノイズにすぎません。ホスティングプロバイダーはこれを知っている必要があります。残念ながら、彼らの選択した応答には、あなたをあなたのアカウントから締め出すという副作用があります。

基本的に、ホスティング会社のセキュリティポリシーの選択とインターネット上のすべてのサーバーで行われる標準のパスワードスキャンの組み合わせにより、メールのサービス拒否（DoS）が発生しました。誰かがホスティングプロバイダーの実際のDoSを試み、ネットワークを無用な帯域幅で満たしたためにメールがダウンした場合、解決策は非常に簡単です。あなたはここで問題を修正するために何ができるかを尋ねることはありません-あなたはあなたのプロバイダーと話し、彼らにそれを修正するように頼むでしょう。結局のところ、サードパーティの電子メールサービスプロバイダーを使用するすべてのポイントは、サービスを提供することです。サーバーがダウンしたか、ネットワークがDoSによって損なわれているため、またはセキュリティポリシーが熱心すぎてアカウントからロックアウトされているために、そのサービスが提供されていない場合、唯一の実際の解決策はあなたのホスティングプロバイダーはそれを修正し、あなたに提供するためにあなたが彼らに支払うサービスを提供します。

ここで私たちが得る多くの質問は、人々がセキュリティを一斉に無視した結果です。しかし、セキュリティをしようとしているが、それを間違っているだけの人々の例はもっとたくさんあります。これは後者の1つです。したがって、あなたは間違いなくあなたのホスティングプロバイダーと話をして、彼らにそれを修正してもらう必要があります。彼らがあなたが払っているサービスをあなたに提供することができないなら、あなたはそれを提供するプロバイダーに切り替える必要があります（うまくいけば、それはまったくセキュリティを全くしない種類のプロバイダーではないでしょう）。

Harper - Reinstate Monica · Answer

ええ、公式のメールアドレスでメールを新しい「バーナー」メールアカウントに転送するのは簡単です。次に、新しいメールアカウントの設定で、差出人：フィールドを公式のメールアドレスに設定します。そうすればメールはこのように出て行きます。

 From: account-I-always-had@oldserver.com Subject: Re: so-and-so In-Reply-To: <4735813474834434634@theirmail.com> Sender: burneraccount@newserver.com

またはそのようなもの。

とにかく、公式メールアドレスでIDを保持を使用できます。ログインサーバーへの攻撃は、電子メールの受信および転送とは無関係です。

上記から明らかなように、新しい電子メールアドレスはヘッダーから明らかな場合があるため、自動応答を設定しないでください。信頼できる人とのみやり取りしてください。この書き込み用メールアカウントが攻撃を受けた場合は、この書き込み用アカウントをゴミ箱に移動し、別のアカウントをセットアップして、公式のメールサーバーに新しい書き込み用サーバーに転送するように伝えます。

次に、過去2日間に最後の書き込みアカウントにメールを送信した人を調査します。それらの1つはそれを妥協しました。ある戦術を使用して、このまたは別の書き込みアカウントを攻撃するようにそれらをだまして、正確に誰がそれをしたかを区別できるようにします。

cybernard · Answer

これはあなたのプロバイダーと彼らが何をする用意があるかに依存しています。

静的IPがある場合は、IPをホワイトリストに登録するように依頼できます。多分あなたのCIDRですが、あなたがそれらをあまりにも多く行うならば、悪いトラフィックのいくつかは通り抜け始めるかもしれません。

何度も試みた後、プロバイダーはIPアドレスを攻撃することを一時的に禁止する必要があります。現在、ハッカーは何千、何万、何千ものIPから選択できますが、最終的にはすべてをブロックできる可能性があります。

明らかにあなたのプロバイダーはより良いddos保護を必要としています。