邮件服务器最近出现大量的未知IP连接，这是什么情况呢？

毫无疑问，这是黑客对邮件服务器的常见攻击手段，上面这类情况可能有些IT朋友们应该也有遇到过或者有所耳闻吧，我们还是给大家分析下产生的原因、影响以及该如何解决。

现象分析：

这些未知的IP其实是黑客通过控制许多僵尸机器撞库攻击邮件服务器，尝试破解邮件账号密码，达到利用这些账号发送垃圾广告或钓鱼邮件，甚至伺机进行财务诈骗。

而这样的撞库攻击大部分是通过明文的SMTP 25端口来尝试验证外发，也有通过POP3协议登陆收取验证密码。 

产生的原因可能是：

1. 服务器明文端口开放，给了黑客可进入的机会；

2. 服务器安全验证级别较低，匿名伪装即可访问；

3. 密码简单、公司统一初始化密码；

4. 员工安全意识薄弱、很多网站上留有公司邮箱地址。

最终产生的影响：

1. 当出现大量IP连接会话时，会导致SMTP或POP3无法响应，邮件服务器瘫痪，邮件无法正常收发；

2. 如果黑客破解邮件账号密码，则通过邮件服务器发送大量垃圾广告或钓鱼勒索等邮件，IP轻易被列入到RBL黑名单后导致正常商务邮件的到达率大大降低。

3. 高级黑客获取用户的密码，可长期潜伏在用户信箱，与客户的商务合作伙伴进行冒名沟通，诈骗钱款。

如何解决撞库攻击？

1. 必须关闭邮件服务器的明文端口。购买并安装国际认证的SSL证书，开启465/ 995 /993加密端口，所有客户端须修改为加密配置，关闭明文端口（25端口关闭务必有使用第三方网关前提--见第5条）；

2. 提高服务器安全验证机制，务必保证From 与sender匹配且有验证的条件下方可外发；

3. 设置单个账号每日外发数量限制；

4. 加强账号密码复杂性，建议八位以上，数字+大小写英文+特殊字符组合的形式

5. 部署反垃圾网关（如本地硬件网关或第三方云网关），可关闭明文的25端口，由网关来收取外部邮件；

6. 最后别忘了培训员工伙伴的安全意识，不要随便在互联网上填写散播企业邮箱地址哦！

现在黑客技术也在升级，我们监测到少量针对加密端口995/465/443的撞库攻击，所以本地邮件服务器上的安全策略也是必不可少的。