目前，超過300萬臺未啟用TLS加密的POP3和IMAP郵件服務(wù)器暴露在互聯(lián)網(wǎng)上，容易受到網(wǎng)絡(luò)嗅探攻擊。

IMAP和POP3是訪問郵件服務(wù)器上郵件的兩種方式。IMAP適用于從多個(gè)設(shè)備（如手機(jī)和筆記本電腦）查看郵件，因?yàn)樗鼤⑧]件保留在服務(wù)器上并在設(shè)備間同步。而POP3則會將郵件從服務(wù)器下載，使其僅能從下載的設(shè)備訪問。

TLS安全通信協(xié)議有助于在通過客戶端/服務(wù)器應(yīng)用程序在互聯(lián)網(wǎng)上交換和訪問郵件時(shí)保護(hù)用戶信息。然而，如果未啟用TLS加密，用戶的消息內(nèi)容和憑證將以明文形式發(fā)送，容易受到竊聽的網(wǎng)絡(luò)嗅探攻擊。

根據(jù)ShadowServer安全威脅監(jiān)控平臺的掃描結(jié)果顯示，約有330萬臺主機(jī)運(yùn)行未啟用TLS加密的POP3/IMAP服務(wù)，并在通過互聯(lián)網(wǎng)傳輸時(shí)以明文形式暴露用戶名和密碼。

目前，ShadowServer正在通知郵件服務(wù)器運(yùn)營商，他們的POP3/IMAP服務(wù)器未啟用TLS，導(dǎo)致用戶的未加密用戶名和密碼暴露于嗅探攻擊。

未啟用TLS的IMAP和POP3郵件服務(wù)器（Shadowserver）

“這意味著用于郵件訪問的密碼可能被網(wǎng)絡(luò)嗅探器攔截。此外，服務(wù)暴露可能使服務(wù)器遭受密碼猜測攻擊，”Shadowserver表示。“如果您收到我們的報(bào)告，請為IMAP啟用TLS支持，并考慮是否需要啟用該服務(wù)或?qū)⑵湟浦罺PN后面。”

TLS 1.0規(guī)范及其后續(xù)版本TLS 1.1已使用了近二十年。TLS 1.0于1999年推出，TLS 1.1于2006年推出。經(jīng)過廣泛討論和28個(gè)協(xié)議草案的開發(fā)，互聯(lián)網(wǎng)工程任務(wù)組（IETF）于2018年3月批準(zhǔn)了TLS 1.3，這是TLS協(xié)議的下一個(gè)主要版本。

2018年10月，微軟、谷歌、蘋果和Mozilla在協(xié)調(diào)公告中表示，將在2020年上半年淘汰不安全的TLS 1.0和TLS 1.1協(xié)議。微軟從2020年8月開始在最新的Windows 10 Insider版本中默認(rèn)啟用TLS 1.3。

2021年1月，美國國家安全局（NSA）還提供了關(guān)于識別和替換過時(shí)的TLS協(xié)議版本和配置的指導(dǎo)，建議采用現(xiàn)代、安全的替代方案。

“過時(shí)的配置使對手能夠使用各種技術(shù)訪問敏感操作流量，例如通過中間人攻擊被動(dòng)解密和修改流量，”NSA表示。

“攻擊者可以利用過時(shí)的傳輸層安全（TLS）協(xié)議配置，以非常低的技能要求訪問敏感數(shù)據(jù)。”

參考來源：https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/