Moja pułapka spamowa złapała firmę - jak uzasadniona jest ich reakcja? [Zamknięte]

9

Mam własną domenę (nazwijmy ją MyDomain.com), a moje konto e-mail jest skonfigurowane w taki sposób, że wszystkie wiadomości e-mail wysyłane na @ MyDomain.com trafią do tej samej skrzynki pocztowej.

Pomyśl o słowie, umieść je przed @ MyDomain.com, wyślij mi e-mail, a dostanę go.

Kiedy zarejestruję się w SomeService.com, podam im adres e-mail „[email protected]”.

Oznacza to, że jeśli otrzymam wiadomość e-mail ze spamem „Do” [email protected], mogę zidentyfikować „someservice” jako naruszającą mój adres e-mail ... A przynajmniej tak mi się wydawało.

Kiedy łapałem firmę (aptekę, od której kupiłem zatyczki do uszu), o ile mnie to dotyczyło, na gorącym uczynku szukałem ich i otrzymałem następującą odpowiedź:

Jestem jednym z webmasterów portalu handlowego [SomeService]. Bezpieczeństwo danych użytkowników traktujemy bardzo poważnie, ponieważ nasza działalność zależy od tego.

Posiadamy certyfikat PCI wydany przez 2 niezależne agencje, które rutynowo skanują nasze systemy pod kątem błędów bezpieczeństwa.

Wiadomości e-mail mogą wyciekać na wielu poziomach, w tym na komputerze użytkownika lub w transporcie, ze względu na coraz częstsze wykorzystywanie sieciowych snifferów przez profesjonalnych spamerów.

Nie tylko przechowujemy nasze systemy za zaporą ogniową, ale także szyfrujemy dane użytkowników, aby zapewnić prywatność nawet przed własnym personelem.

Powtarzam, że tego nie akceptujemy i przeprowadzimy wewnętrzne dochodzenie, aby upewnić się, że nasze systemy są czyste. Z poważaniem [administrator]

Co wy o tym sądzicie? Oto niektóre pytania, które zadaję

  • Co to jest certyfikacja PCI i czy mogę to potraktować poważnie / czy jest wiarygodna?
  • Czy roszczenia dotyczące „wycieku e-maila” i „sniffera sieciowego” są wiarygodne?

I wszelkie myśli w ogóle. Powiedzmy, że się uczę.

Dzięki, James

email security spam-prevention James Wiseman
źródło
Co masz na myśli, mówiąc, że możesz zidentyfikować „usługę”, która naruszyła Twój adres e-mail? Czy prowadzisz rejestr każdego użytego adresu e-mail „someservice @”?
Connor W
Tak. Obecnie mam około 20 lat. Nawet jeśli tego nie zrobię, otrzymam taki e-mail, który pobudzi moją pamięć. :-)
James Wiseman
2
@ Connor Z pewnością płyta znajduje się w części „someservice”. Można się zapisać do „stackoverflow” z adresem „[email protected]” i używać tego adresu e-mail do niczego innego. Pytanie brzmi: czy ktoś dostaje spam zaadresowany na „[email protected]”, skąd spamer otrzymał adres, jeśli nie z „stackoverflow”?
Neal
2
Niektórzy spamerzy szukają zarejestrowanych domen, a następnie próbują tworzyć adresy ze słowników, aby uzyskać inny sposób na uzyskanie spamu. Mimo to, gdyby tak było, byłoby zazdrościć konfiguracji takiej jak opisany jeden OP.
AndrejaKo,
1
Ja też to robię i działa świetnie. Miałem tylko jedną instancję strony trzeciej, która aktywnie podała adres spamerom. Najwyraźniej było to wynikiem wysłania formularzy rabatowych do popularnego sklepu z elektroniką. Ten adres jest teraz zablokowany.
Chris Nava,

Odpowiedzi:

7

Certyfikacja PCI prawdopodobnie dotyczy Rady Bezpieczeństwa Standardów PCI , która dotyczy głównie bezpieczeństwa danych aplikacji płatniczych, a nie bezpieczeństwa poczty e-mail. W skrócie: Brak związku z twoją prośbą.

Jeśli chodzi o sniffery w Twojej sieci lokalnej, naprawdę nie sądzę, aby ktokolwiek miał problem z połączeniem się z twoim domem w celu uzyskania adresów e-mail. Więc jeszcze raz: Nie dotyczy twojego pytania.

Zapora ogniowa nie stanowi ostatecznej ochrony, ponieważ może mieć luki w zabezpieczeniach odłączone od sieci, a mimo to przesyła wiadomości e-mail, które mogą przekonać pracowników do zainstalowania za nią oprogramowania szpiegującego w sieci wewnętrznej, która następnie staje się szeroko otwarta dla hakera.

Szyfrowanie danych użytkownika jest miłe, ale wirus zawsze może przechwycić wiadomość e-mail przed jej zakodowaniem.

Wniosek: jest to potężny bla-bla, którego celem jest ukrycie, że facet nie ma pojęcia o bezpieczeństwie. Nie ufaj im, mogą być pełne wirusów i wciąż naiwnie w pełni pewni swojej zapory ogniowej.

Aby chronić swój e-mail, sugeruję zajrzeć na e4ward . Ma darmowe lub płatne konta (tylko 10 USD rocznie) i pozwala na znacznie lepszą kontrolę nad pocztą e-mail, ponieważ pozwala odciąć takich facetów.

harrymc
źródło
3

Zgodność z PCI to standard bezpieczeństwa danych stosowany przez osoby zajmujące się danymi kart kredytowych. Z pewnością można zbierać adresy e-mail na różne sposoby. Pytanie, czy i jak często odbywa się to za pomocą drutu. Odpowiedź nie dotyczy tego, czy sprzedają swoje adresy e-mail. Powinieneś być w stanie uzyskać ich politykę prywatności na swojej stronie internetowej lub na żądanie i powinna ona obejmować ten problem. Może być również możliwe, że ktoś z wewnątrz zbierze adresy (nie wiem, jak PCI radzi sobie z tą możliwością).

Wstrzymano do odwołania.
źródło
4
PCI nie ma nic wspólnego z bezpieczeństwem poczty e-mail. Byłem menedżerem u sprzedawcy POS zajmującego się wieloma problemami PCI aż do początku tego roku i (niestety dla mnie) przeczytałem dokumenty i standardy całkiem dokładnie.
JNK
Powinienem również zauważyć, że apteki w USA podlegają przepisom dotyczącym prywatności danych, które nie mają nic wspólnego z PCI. Wiem, że dotyczą one recept, ale nie wiem, czy dotyczą innych transakcji biznesowych.
Wstrzymano do odwołania.
3

Jak powiedziano w innych odpowiedziach, PCI dotyczy bezpieczeństwa serwera / usługi, a nie danych osobowych.

Myślę, że najbardziej prawdopodobną odpowiedzią jest to, że po prostu masz pecha.

Prowadzę również adres e-mail catchall na moim serwerze i codziennie otrzymuję tysiące spamu - osoby te po prostu odgadują kombinacje adresów. Nie jest to nic specjalnego, a im dłużej jesteś właścicielem domeny, tym więcej spamu trafi na Twoją stronę.

Mimo to, nie można wykluczyć, że to miejsce podało Twój adres e-mail, ale jeśli jest to duże miejsce, musisz zadać sobie pytanie, czy naprawdę leży to w ich najlepszym interesie.

Jeśli jest to prawdziwy, niezamawiany spam, taki jak śmieciowe wiadomości e-mail z jednym załącznikiem lub reklamy Viagra, jest mało prawdopodobne, aby pochodziły z listy sprzedanych.

William Hilsum
źródło
Na zdrowie Wil. Jestem właścicielem domeny od 8 lat i otrzymuję dużą ilość spamu, z których praktycznie wszystkie są przenoszone do mojego folderu ze spamem. Cieszę się, że metoda, którą zastosowałem, zadziałała. To nie jest duże miejsce i nie zdziwiłbym się, gdyby to sprawiło, że był to miły dodatkowy strumień dochodów.
James Wiseman