"Analysis":
El hecho de que se realizaron intentos de inicio de sesión reales, le dice que el atacante pudo configurar las conexiones al servidor de correo.
Dado que, para recibir información a través de Internet, debe tener el control de la dirección IP que está utilizando, esto no puede ser un caso de falsificación de direcciones. (Los atacantes pueden enviarle información utilizando direcciones falsificadas, como lo menciona YaRi, pero las respuestas se desviarán del atacante. Por lo tanto, no sería posible una comunicación bidireccional).
Conclusion:
Esto te deja con dos posibilidades:
- El atacante usa algún tipo de redirección (proxy).
- Múltiples ataques coinciden.
1 es mucho más probable, pero 2 no se puede descartar descartado de la información proporcionada.
VPN, SOCKS o HTTP Proxies, Tor o incluso las botnets no son más que diferentes tipos de sistemas de proxy desde un punto de vista conceptual. Operan en diferentes capas de Internet (VPN muy baja para redes superpuestas como Tor muy alta) pero todas realizan el reenvío de tráfico de una forma u otra.
Mitigation:
Si tiene el control del servidor de correo, puede bloquear los relés conocidos públicamente (por ejemplo, los nodos de salida de Tor). Otra opción es realizar un seguimiento de los dispositivos utilizados para acceder al servidor de correo o la geolocalización de las direcciones IP, para requerir una autenticación extendida al acceder con un dispositivo nuevo o desde una nueva ubicación.
Las medidas indicadas anteriormente probablemente no valgan la pena, a menos que esté ejecutando un servicio algo mayor. La mejor medida de lo contrario, junto con mantener el sistema actualizado, es usar una contraseña segura.