Como posso reduzir o dano de contas de e-mail roubadas?

11

Atualmente, estou oferecendo alguns serviços de hospedagem para algumas agências de publicidade para seus clientes premium. Mas atualmente tenho um grande problema com o serviço de e-mail. Na última semana, as contas de e-mail de cerca de 7 empresas foram roubadas e usadas para enviar spam usando meu Mail-Server.

Bem, consegui desativar as contas, porque o remetente estava atingindo as políticas de proporção do meu servidor e muitos e-mails estavam na fila de e-mails. Bem, cerca de 40 e-mails foram entregues. Mas foi o suficiente para ficar na lista negra e até mesmo um usuário escreveu um e-mail pessoal para o abuso do datacenter.

Atualmente, não tenho ideia, o que posso fazer para evitar o spam de uma conta de e-mail roubada. Eu envio todos os e-mails enviados através de SA e AV, mas isso não é suficiente. Antes que a conta de usuário não atinja a proporção de 40 e-mails por dia ou não inunde a fila de mensagens, não consigo detectar o ataque.

Como posso detectar esses problemas anteriormente?

    
por user39063 01.07.2014 / 07:33

2 respostas

17

Estou ansioso para ver outras respostas para esta pergunta, mas meu sentimento é que, se você está pegando contas de e-mail comprometidas depois de apenas 40 spams, você está fazendo realmente bem . Não tenho certeza se consegui detectar um abuso semelhante tão rapidamente, e a perspectiva me preocupa.

Mas estou chocado que sete conjuntos de credenciais foram roubados somente na semana passada.

Portanto, parece-me que melhorias posteriores não estarão no final da questão " detecção e remoção de mensagens anormais ", mas no departamento " minimizar o roubo de credenciais" .

Você sabe como esses clientes perderam o controle de suas credenciais? Se você puder ver um padrão comum, eu começaria mitigando isso. Se você não puder, existem soluções técnicas e não técnicas para ajudar a minimizar a perda de credenciais.

No front técnico, exigir autenticação de dois fatores dificulta muito o roubo de fichas e torna esse roubo muito mais fácil de detectar. O SMTP AUTH não se presta bem à autenticação de dois fatores, mas você pode encapsular o canal SMTP em uma VPN que faz , portanto, se empresta; O OpenVPN vem à mente, mas está longe de ser único nesse aspecto.

Na frente não técnica, o problema aqui é que a perda de credenciais não é dor de cabeça para aqueles que supostamente cuidam deles. Você poderia pensar em mudar sua AUP para que (a) as pessoas sejam claramente responsáveis pelas coisas feitas com suas credenciais, e (b) você faça uma cobrança significativa para cada peça inadequada correio enviado com um conjunto de credenciais. Isso simultaneamente o reembolsa pelo tempo que você gasta lidando com a perda de credenciais e faz com que seus clientes saibam que eles devem estar cuidando dessas credenciais, bem como as de seus serviços bancários on-line, já que a perda de ambas custará dinheiro real. / p>     

por 01.07.2014 / 08:40
7

Reduzimos o mesmo problema usando um fornecedor externo como nosso gateway de e-mail (no nosso caso, o Exchange Online Protection, mas há muitos outros serviços comparáveis). Em seguida, configuramos todos os nossos serviços de envio de e-mail para usar isso como o smarthost.

Agora, todas as nossas mensagens de saída estão associadas à reputação do gateway de e-mail externo. Por causa disso, esses serviços fazem um trabalho muito impressionante ao detectar atividades suspeitas de envio de emails e alertá-lo imediatamente.

Normalmente, sou um grande defensor do desenvolvimento de nossas soluções internamente, mas o e-mail é uma dessas coisas em que o retorno sobre o investimento realmente vale a pena.

    
por 01.07.2014 / 15:25