Як я можу зменшити шкоду вкрадених рахунків пошти?

В даний час я пропоную кілька хостингу для кількох рекламних агентств для своїх клієнтів преміум класу. Але на даний момент у мене велика проблема зі службою електронної пошти. За останній тиждень рахунки електронної пошти близько 7 компаній були викрадені та використані для надсилання спаму за допомогою мого поштового сервера.

Що ж, мені вдалося вимкнути облікові записи, оскільки відправник впливав на політику співвідношення мого сервера, і в черзі пошти було багато листів. Що ж, насправді було доставлено близько 40 листів. Але цього було достатньо, щоб отримати чорний список, і навіть один користувач написав особисту пошту про зловживання центром обробки даних.

Наразі у мене немає поняття, що я можу зробити, щоб запобігти спамуванню з викраденого облікового запису пошти. Я надсилаю кожну вихідну пошту через SA та AV, але цього недостатньо. Перш ніж обліковий запис користувача не потрапить у співвідношення 40 повідомлень на день або не заповниться чергою повідомлень, я не можу виявити атаку.

Як я можу виявити подібні проблеми раніше?

— user39063
джерело

Ви знаходите порушені облікові записи електронної пошти лише після 40 повідомлень? Це насправді вражаюче. Схоже, це швидше проблема захисту пароля, ніж проблема сканування електронної пошти.

— Белмін Фернандес

Не відповідь на ваше запитання, а порада для наступного разу. Коли хтось пише особистий електронний лист у ваш центр обробки зловживань, ви повинні відповісти особисто та швидко. Не надсилайте лише формулярного листа - скажіть їм, що ви нам тут сказали, і що ви працюєте над тим, щоб зменшити ризик того, що це повториться. Ваша особиста та швидка відповідь надзвичайно покращить вашу репутацію. Принаймні, це мій досвід від прийняття посади пошти в Інтернет-провайдера з проблемою спаму та перетворення його репутації менш ніж за рік на одну з найкращих.

— Дженні Д

@Jenny D Ну, саме так, я зазвичай відповідаю на повідомлення про зловживання. І зазвичай повідомлення про зловживання є більш інформативними. Але в цьому випадку про мене було повно образливих слів. "Будь ласка, ПОСТІЙНО та абсолютно відключіть сервер цієї матері *** !!!" - просто навести одне речення цього звіту про зловживання. Було якось вражаюче, що хтось може розвинути таку лють щодо спам-пошти за допомогою лише посилання на азіатський порносайт - можливо, із шкідливим програмним забезпеченням Drive-Buy. Але добре, може, у нього був просто поганий день (NLP FTW;))

— user39063

user39063, ви можете в якийсь момент прийняти одну з відповідей на це питання, яку ви робите, натиснувши на "галочку" контуру, який ви бачите поруч. Мало того, що ввічливий в рамках місцевого етикету, він керує системою репутації SF як для вас, так і для автора прийнятої відповіді. Вибачте, якщо ви це вже знаєте.

— MadHatter

Відповіді:

Я з нетерпінням чекаю на інші відповіді на це запитання, але я відчуваю, що якщо ви знайдете компрометовані акаунти пошти після того, як пройшло лише 40 спамів, ви працюєте дуже добре. Я не впевнений, що міг так швидко виявити подібне зловживання, і перспектива мене хвилює.

Але я здивований, що лише за минулий тиждень було вкрадено сім наборів даних.

Тож мені здається, що подальше вдосконалення відбуватиметься не у справі " ненормального виявлення та видалення пошти ", а у відділі " мінімізувати крадіжку облікових даних ".

Чи знаєте ви, як ці клієнти втратили контроль над своїми повноваженнями? Якщо ви бачите загальну схему, я б почав із її пом'якшення. Якщо ви не можете, є рішення як технічні, так і нетехнічні, що дозволяють мінімізувати втрати облікових даних.

На технічному фронті, необхідна двофакторна автентифікація, робить жетони набагато складнішими для крадіжки, і робить такі крадіжки набагато простішими для виявлення. SMTP AUTH не піддається двофакторному аутентифікації, але ви можете обернути канал SMTP у VPN, який робить це; OpenVPN спадає на думку, але далеко не унікальна в цьому відношенні.

На нетехнічному фронті проблема тут полягає в тому, що втрата повноважень не є головним болем для тих, хто повинен доглядати за ними. Ви можете розглянути можливість зміни свого AUP так, щоб: (а) люди чітко відповідали за справи, зроблені за допомогою своїх облікових даних, і (b) ви стягуєте значну плату за кожну частину невідповідної пошти, надісланої з набором облікових даних. Це одночасно відшкодовує вам час, який ви витрачаєте на боротьбу з обліковими збитками, і дає вашим клієнтам усвідомлення того, що вони повинні доглядати за цими обліковими даними, а також за їхніми Інтернет-банкінгами, оскільки втрата обох коштуватиме їм реальних грошей.

— MadHatter
джерело

Я знаю з двох компаній, як вони втратили свої повноваження. Один співробітник отримав електронну пошту одного з своїх клієнтів, цікаво, він не зміг відкрити доданий файл .doc, він отримав від іншого клієнта. І цей працівник просто відкрив його. У мене є файл .doc. За даними virustotal, навіть через тиждень після зараження лише декілька АВ виявили зловмисне програмне забезпечення. Крапець викрав поштові дані та встановив програмне забезпечення CryptoWall. І так, у цієї компанії не було резервних копій, і так, вони заплатили викуп. Інший працівник також просто відкрив заражене вкладення, він думав, що отримує рахунок. =>

— Глупості

Для мене це досить сильно стверджує двофакторне технічне рішення. Варіант " надіслати їм рахунок " є менш корисним для людей, які не знають, що в першу чергу їх набивають.

— MadHatter

Ми пом'якшили ту саму проблему, використовуючи сторонніх постачальників, як наш шлюз електронної пошти (у нашому випадку Exchange Online Protection, але є багато інших подібних сервісів). Потім ми налаштували всі наші сервіси надсилання електронної пошти для використання цього в якості смарт-хоста.

Тепер усі наші вихідні повідомлення пов'язані з репутацією зовнішнього шлюзу електронної пошти. Через це ці служби роблять дуже вражаючу роботу щодо виявлення підозрілої активності електронної пошти та негайного попередження.

Я, як правило, великий прихильник розробки власних рішень, але електронна пошта - одна з тих речей, де рентабельність інвестицій справді того варта.

— Белмін Фернандес
джерело