Como posso reduzir o dano de contas de correio roubadas?

11

Atualmente, estou oferecendo hospedagem na web para algumas agências de publicidade para seus clientes premium. Mas atualmente tenho um grande problema com o serviço de email. Na última semana, as contas de email de cerca de 7 empresas foram roubadas e usadas para enviar spam usando meu servidor de email.

Bem, consegui desativar as contas, porque o remetente estava cumprindo as políticas de proporção do meu servidor e muitos e-mails estavam na fila de e-mails. Bem, cerca de 40 correios foram entregues. Mas foi o suficiente para entrar na lista negra e até um usuário escreveu um email pessoal para o abuso do datacenter.

Atualmente, não tenho idéia do que posso fazer para impedir o spam de uma conta de email roubada. Envio todos os e-mails enviados por SA e AV, mas não é suficiente. Antes de a conta do usuário não atingir a proporção de 40 Mails por dia ou não inundar a fila de mensagens, não consigo detectar o ataque.

Como posso detectar esses problemas anteriormente?

email exim spamassassin spam user39063
fonte
8
Você está capturando contas de email comprometidas após apenas 40 mensagens? Isso é bastante impressionante, na verdade. Parece que isso é mais um problema de segurança de senha do que um problema de verificação de email.
Belmin Fernandez 01/07
4
Não é uma resposta para sua pergunta, mas um conselho para a próxima vez. Quando alguém escreve um email pessoal no seu datacenter de abuso, você deve responder pessoalmente e rapidamente. Não basta enviar uma carta de formulário - conte praticamente o que você nos contou aqui e que você está trabalhando para reduzir o risco de que isso aconteça novamente. Sua resposta pessoal e imediata melhorará imensamente sua reputação. Pelo menos, essa é minha experiência ao assumir o cargo de postmaster em um provedor de serviços de Internet com um problema de spam e transformar sua reputação em menos de um ano em uma das melhores.
Jenny D
@ Jenny D Bem, é assim que normalmente respondo a denúncias de abuso. E normalmente os relatórios de abuso são mais informativos. Mas, nesse caso, estava cheio de palavras abusivas sobre mim. "Por favor, permanentemente e absolutamente desligue o servidor desta mãe *** !!!" - apenas para citar uma frase deste relatório de abuso. De alguma forma, foi impressionante que alguém possa desenvolver uma raiva tão grande por um e-mail de spam com apenas um link para um site pornô asiático - talvez com o Drive-Buy Malware. Mas bem, pode ser que ele teve apenas um dia ruim (NLP FTW;))
user39063
user39063, em algum momento você pode aceitar uma das respostas para esta pergunta, clicando no esboço "tick" que você vê ao lado. Isso não é apenas educado na etiqueta local, mas também impulsiona o sistema de reputação da SF tanto para você quanto para o autor da resposta aceita. Peço desculpas se você já sabe disso.
2119 MadHatter

Respostas:

17

Estou ansioso para ver outras respostas para essa pergunta, mas minha sensação é de que, se você pegar contas de correio comprometidas após apenas 40 spams, estará indo muito bem. Não sei se consegui detectar abusos semelhantes tão rapidamente, e a perspectiva me preocupa.

Mas estou chocado que sete conjuntos de credenciais tenham sido roubados apenas na semana passada.

Portanto, parece-me que melhorias adicionais não estarão no objetivo " detecção e remoção de correio anormais ", mas no departamento " minimizar o roubo de credenciais ".

Você sabe como esses clientes perderam o controle de suas credenciais? Se você pode ver um padrão comum, eu começaria a mitigar isso. Caso contrário, existem soluções técnicas e não técnicas para ajudar a minimizar a perda de credenciais.

Na frente técnica, exigir autenticação de dois fatores torna os tokens muito mais difíceis de roubar e facilita a detecção de roubo. O SMTP AUTH não se presta bem à autenticação de dois fatores, mas você pode agrupar o canal SMTP em uma VPN que se presta; O OpenVPN vem à mente, mas está longe de ser único nesse sentido.

Na frente não técnica, o problema aqui é que a perda de credenciais não é uma dor de cabeça para aqueles que deveriam cuidar delas. Você pode alterar sua AUP para que (a) as pessoas sejam claramente responsáveis ​​pelas coisas feitas com suas credenciais e (b) faça uma cobrança significativa por cada correio inapropriado enviado com um conjunto de credenciais. Isso o reembolsa simultaneamente pelo tempo que você gasta lidando com a perda de credenciais e conscientiza seus clientes de que eles devem cuidar dessas credenciais e também das transações bancárias on-line, pois a perda de ambas custará dinheiro real.

Chapeleiro Louco
fonte
2
Sei de duas empresas como elas perderam suas credenciais. Um funcionário recebeu um e-mail de um de seus clientes se perguntando: ele não conseguia abrir o arquivo .doc anexado, e sim de outro cliente. E esse funcionário acabou de abrir. Eu tenho o arquivo .doc. De acordo com o virustotal, mesmo uma semana após a infecção, apenas alguns antivírus detectaram o malware. O conta-gotas roubou as credenciais de email e instalou o Malware CryptoWall. E sim, essa empresa não tinha backups e sim, eles pagaram o resgate. Outro funcionário também acabou de abrir um anexo infectado, ele pensou, estava recebendo uma conta. => Estupidez Humana
user39063
Isso argumenta fortemente para uma solução técnica de dois fatores, para mim. A opção " enviar uma fatura para eles " é menos útil para pessoas que não sabem que estão enchendo as coisas em primeiro lugar.
MadHatter
7

Atenuamos o mesmo problema usando um fornecedor externo como nosso gateway de email (no nosso caso, o Exchange Online Protection, mas existem muitos outros serviços comparáveis). Em seguida, configuramos todos os nossos serviços de envio de email para usá-lo como o mais inteligente.

Agora, todas as nossas mensagens enviadas estão associadas à reputação do gateway de email externo. Por esse motivo, esses serviços fazem um trabalho muito impressionante na detecção de atividades suspeitas de envio de emails e no alerta imediato.

Normalmente sou um grande defensor do desenvolvimento de nossas soluções internamente, mas o e-mail é uma daquelas coisas em que o retorno do investimento realmente vale a pena.

Belmin Fernandez
fonte