Obecnie oferuję hosting niektórym agencjom reklamowym klientom premium. Ale obecnie mam wielki problem z usługą e-mail. W ostatnim tygodniu konta e-mail około 7 firm zostały skradzione i wykorzystane do wysyłania spamu za pomocą mojego serwera pocztowego.
Cóż, udało mi się wyłączyć konta, ponieważ nadawca uderzał w zasady dotyczące proporcji mojego serwera, a wiele wiadomości było w kolejce pocztowej. Cóż, faktycznie dostarczono około 40 maili. Ale wystarczyło, aby znaleźć się na czarnej liście, a nawet jeden użytkownik napisał osobistą wiadomość o nadużyciu centrum danych.
Obecnie nie mam pojęcia, co mogę zrobić, aby zapobiec spamowaniu ze skradzionego konta pocztowego. Wysyłam każdą pocztę wychodzącą za pośrednictwem SA i AV, ale to nie wystarczy. Zanim konto użytkownika nie osiągnie proporcji 40 wiadomości e-mail dziennie lub nie zalej kolejki wiadomości, nie mogę wykryć ataku.
Jak mogę wcześniej wykryć takie problemy?
źródło
Odpowiedzi:
Nie mogę się doczekać, aby zobaczyć inne odpowiedzi na to pytanie, ale mam wrażenie, że jeśli łapiesz zainfekowane konta pocztowe po przejściu zaledwie 40 spamów, masz się naprawdę dobrze. Nie jestem pewien, czy mogłem tak szybko wykryć podobne nadużycia, a perspektywa mnie martwi.
Jestem jednak przerażony, że w zeszłym tygodniu skradziono siedem zestawów danych uwierzytelniających.
Wydaje mi się więc, że dalsza poprawa nie będzie polegać na „ nieprawidłowym wykrywaniu i usuwaniu poczty ”, ale na dziale „ minimalizacji kradzieży danych uwierzytelniających ”.
Czy wiesz, jak ci klienci stracili kontrolę nad swoimi danymi uwierzytelniającymi? Jeśli widzisz wspólny wzór, zacznę od złagodzenia tego. Jeśli nie możesz, istnieją rozwiązania zarówno techniczne, jak i nietechniczne, które pomogą zminimalizować utratę danych uwierzytelniających.
Z technicznego punktu widzenia wymaganie uwierzytelnienia dwuskładnikowego znacznie utrudnia kradzież tokenów i znacznie ułatwia wykrycie takiej kradzieży. SMTP AUTH nie nadaje się dobrze do uwierzytelniania dwuskładnikowego, ale można zawinąć kanał SMTP w sieć VPN, która tak sobie nadaje; Przychodzi mi na myśl OpenVPN, ale nie jest pod tym względem wyjątkowy.
Na froncie nietechnicznym problemem jest to, że utrata danych uwierzytelniających nie stanowi problemu dla tych, którzy mają się nimi opiekować. Możesz rozważyć zmianę AUP, aby (a) ludzie byli wyraźnie odpowiedzialni za czynności związane z ich poświadczeniami, oraz (b) ponosiliście znaczną opłatę za każdą część niewłaściwej poczty wysłanej z zestawem poświadczeń. Spowoduje to jednocześnie zwrot kosztów za utratę danych uwierzytelniających i uświadomienie klientom, że powinni oni dbać o te dane uwierzytelniające, a także o ich bankowość internetową, ponieważ utrata obu będzie kosztować ich prawdziwe pieniądze.
źródło
Łagodziliśmy ten sam problem, używając zewnętrznego dostawcy jako naszej bramy e-mail (w naszym przypadku Exchange Online Protection, ale istnieje wiele innych porównywalnych usług). Następnie skonfigurowaliśmy wszystkie nasze usługi wysyłania e-maili, aby używały tego jako smarthost.
Teraz wszystkie nasze wiadomości wychodzące są związane z reputacją zewnętrznej bramki e-mail. Z tego powodu usługi te wykonują bardzo imponującą pracę w wykrywaniu podejrzanych działań wychodzących wiadomości e-mail i natychmiastowym ostrzeganiu.
Zwykle jestem wielkim zwolennikiem opracowywania własnych rozwiązań, ale e-mail jest jedną z tych rzeczy, w których zwrot z inwestycji jest naprawdę tego wart.
źródło