Spamattack orsak till e‑posthaveriet
E-posthaveriet under större delen av förra veckan berodde på ett kapat användarkonto. Det berättar Henrik Johansson, som jobbar med systemdriften på INFRA. Haveriet innebar att det inte var möjligt att skicka e-post externt under fem dagar.
Det var alltså ett kapat konto som låg bakom problemen med e-posten under förra veckan. Kontot hade använts för att få åtkomst till vårt interna nätverk så att man från ”insidan” kunde använda vår interna e-postmiljö för att skicka spam.
57 000 spam skickades ut
Så många som 57 000 externa mottagare hann få spam skickade till sig under natten mot lördagen, innan det automatiska säkerhetssystemet slog till. Eftersom det användes en extern avsändaradress ansåg spamskyddet hos Microsoft helt enkelt att vår e-postmiljö inte var lämpad att få kommunicera med omvärlden, berättar Henrik Johansson.
– Det har hänt förut att en adress inom vår egen domän har använts som avsändare vid spamutskick, men då har spamskyddet spärrat endast den enskilda adressen. Spärren har då bara funnits kvar tills någon av våra interna administratörer har godkänt att adressen får användas igen. Eftersom spärren den här gången var för hela e-postsystemet hamnade nödvändig åtgärd utanför vår kontroll och vi var tvungna att kontakta Microsoft och få dem att åtgärda det, säger han.
Ursäkt från Microsoft
Enligt universitetets severloggar provskickades det ett testmeddelande under natten mot fredagen den 28 juli. Under följande natt släpptes så den skarpa spamfloden på och orsakade att skyddet satte stopp för utgående trafik. Även under natten mot måndagen gjordes ett försök att skicka en spamflod. Varför det tog så lång tid att fixa spärren kan dock inte Henrik Johansson svara på.
– Vi vet för närvarande inte orsaken till det, men Microsoft har bett om ursäkt.
Så arbetade INFRA med att åtgärda felet
När IT-supportens incidentkordinator uppmärksammade felet på måndagmorgon skapade han genast ett incidentärende, postade information i avdelningens incidentkanal i Teams, kontaktade driftpersonal och informerade KOM. Då det bedömdes vara en allvarlig störning informerade han även MSB. Därefter ringade personal inom IT-drift in vad som hade hänt och felanmälde samma dag till Microsoft. Sedan tog det stopp.
– Något gick rejält fel hos Microsoft supportled då de ville ha ytterligare information skriftligt från kunden, alltså Mittuniversitetet. Vi kunde ju som bekant inte skicka e-post. Handläggaren såg heller inte kommentarer som vi skrev i ärendet via deras web-gränssnitt. Inte heller telefonkontakten gav någon effekt till en början. Först efter påtryckning via vår kundansvarig blev ärendet eskalerat och åtgärdat, säger Henrik Johansson.
För att förhindra att en liknande attack händer igen har nu INFRA ändrat konfigurationen i e-postsystemet och åtgärdat det ”hål” som utnyttjades.
Tidigare i sommar drabbades även Umeå universitet av samma typ av spamattack men de fick sin spärr relativt snabbt åtgärdad.