"Analisi":
Il fatto che siano stati effettuati i tentativi di accesso effettivi indica che l'utente malintenzionato è riuscito a configurare le connessioni all'host di posta.
Poiché, per poter ricevere informazioni su Internet, è necessario avere il controllo dell'indirizzo IP che si sta utilizzando, questo non può essere il caso dello spoofing dell'indirizzo. (Gli aggressori potrebbero inviarti informazioni usando indirizzi falsificati, come menzionato da YaRi, ma le risposte verrebbero rimosse dall'aggressore, quindi nessuna comunicazione bidirezionale sarebbe possibile.)
Conclusione:
Questo ti lascia due possibilità:
- L'utente malintenzionato utilizza una sorta di reindirizzamento (proxy).
- Più attacchi coincidono.
1 è molto più probabile, ma 2 non può essere escluso dalle informazioni fornite.
VPN, SOCKS o proxy HTTP, Tor o persino botnet non sono nient'altro che diversi tipi di sistemi di proxy da un punto di vista concettuale. Operano su diversi livelli di Internet (VPN molto bassa per sovrapporre reti come Tor molto alta) ma tutti eseguono l'inoltro del traffico in un modo o nell'altro.
Mitigazione:
Se hai il controllo del server di posta, puoi controllare il blocco dei relè noti pubblicamente (ad esempio i nodi di uscita di Tor). Un'ulteriore opzione è quella di tenere traccia dei dispositivi utilizzati per accedere al server di posta o la geolocalizzazione degli indirizzi IP, per richiedere un'autenticazione estesa quando si accede con un nuovo dispositivo o da una nuova posizione.
Le misure sopra indicate probabilmente non valgono la pena, a meno che non si stia eseguendo un servizio un po 'più grande. La misura migliore altrimenti, accanto a mantenere aggiornato il sistema, è di usare una password complessa.