Come posso ridurre il danno degli account di posta rubati?


11

Attualmente sto offrendo un po 'di web hosting ad alcune agenzie pubblicitarie per i loro clienti premium. Ma attualmente ho un grosso problema con il servizio e-mail. Nell'ultima settimana, gli account e-mail di circa 7 società sono stati rubati e utilizzati per inviare spam tramite il mio server di posta.

Bene, sono stato in grado di disabilitare gli account, perché il mittente stava colpendo i criteri di rapporto del mio server e molte e-mail erano in coda. Bene, circa 40 mail sono state effettivamente consegnate. Ma è bastato essere inseriti nella blacklist e persino un utente ha scritto una mail personale all'abuso del datacenter.

Al momento non ho idea di cosa posso fare per impedire lo spamming da un account di posta rubato. Mando ogni posta in uscita tramite SA e AV, ma non è sufficiente. Prima che l'account utente non raggiunga il rapporto di 40 messaggi al giorno o non inondi la coda dei messaggi, non riesco a rilevare l'attacco.

Come posso rilevare tali problemi in precedenza?


8
Stai rilevando account di posta elettronica compromessi dopo solo 40 messaggi? È davvero impressionante in realtà. Sembra che questo sia più un problema di sicurezza della password che un problema di scansione della posta elettronica.
Belmin Fernandez,

4
Non una risposta alla tua domanda, ma un consiglio per la prossima volta. Quando qualcuno scrive un'e-mail personale nel tuo centro dati sugli abusi, dovresti rispondere personalmente e rapidamente. Non limitarti a inviare una lettera di modulo, dì loro praticamente quello che ci hai detto qui e che stai lavorando per ridurre il rischio che ciò accada di nuovo. La tua risposta personale e tempestiva migliorerà immensamente la tua reputazione. Almeno, questa è la mia esperienza acquisendo il ruolo di postmaster presso un ISP con un problema di spam e trasformando la sua reputazione in meno di un anno in uno dei migliori.
Jenny D

@Jenny D Bene, questo è il modo in cui normalmente rispondo ai rapporti sugli abusi. E normalmente i rapporti sugli abusi sono più informativi. Ma in quel caso era pieno di parole offensive su di me. "Per favore, PERMANENTAMENTE e assolutamente spegnere il server di questa madre *** !!!" - solo per citare una frase di questo rapporto di abuso. È stato in qualche modo impressionante che qualcuno possa sviluppare una tale rabbia per una posta spam con solo un link a un sito porno asiatico - forse con Drive-Buy Malware. Ma beh, potrebbe essere stata solo una brutta giornata (NLP FTW;))
user39063

user39063, potresti desiderare ad un certo punto di accettare una delle risposte a questa domanda, cosa che fai facendo clic sul contorno "spunta" che vedi accanto ad essa. Non solo è educato all'interno dell'etichetta locale, ma guida il sistema di reputazione di SF sia per te che per l'autore della risposta accettata. Mi scuso se lo sai già.
MadHatter,

Risposte:


17

Non vedo l'ora di vedere altre risposte a questa domanda, ma la mia sensazione è che se stai rilevando account di posta compromessi dopo che sono passati solo 40 spam, stai andando davvero bene. Non sono sicuro di poter rilevare abusi simili così rapidamente e la prospettiva mi preoccupa.

Ma sono sconvolto dal fatto che sette serie di credenziali siano state rubate solo nella scorsa settimana.

Quindi mi sembra che un ulteriore miglioramento non riguarderà la parte " anomala del rilevamento e della rimozione della posta ", ma nel dipartimento " minimizzare il furto di credenziali ".

Sai come questi clienti hanno perso il controllo delle loro credenziali? Se riesci a vedere uno schema comune, inizierei a mitigarlo. In caso contrario, esistono soluzioni sia tecniche che non tecniche per ridurre al minimo la perdita di credenziali.

Dal punto di vista tecnico, richiedere l'autenticazione a due fattori rende i token molto più difficili da rubare e facilita il rilevamento di tali furti. SMTP AUTH non si presta bene all'autenticazione a due fattori, ma potresti avvolgere il canale SMTP in una VPN che si presta in tal modo; OpenVPN mi viene in mente, ma è tutt'altro che unico in questo senso.

Sul fronte non tecnico, il problema qui è che la perdita di credenziali non è un mal di testa per coloro che dovrebbero occuparsene. Potresti considerare di modificare il tuo AUP in modo che (a) le persone siano chiaramente responsabili delle cose fatte con le loro credenziali e (b) applichi un costo significativo per ogni pezzo di posta inappropriata inviata con un set di credenziali. Questo ti rimborsa contemporaneamente per il tempo che stai spendendo per gestire la perdita di credenziali e rende i tuoi clienti consapevoli che dovrebbero occuparsi di queste credenziali e di quelle del loro banking online, poiché la perdita di entrambi costerà loro denaro reale.


2
So da due società come hanno perso le loro credenziali. Un dipendente ha ricevuto una e-mail di uno dei suoi clienti che si chiedeva, non poteva aprire il file .doc allegato, ha ricevuto da un altro cliente. E questo impiegato l'ha appena aperto. Ho il file .doc. Secondo virustotal anche una settimana dopo l'infezione, solo alcuni AV hanno rilevato il malware. Il dropper ha rubato le credenziali di posta e ha installato il malware CryptoWall. E sì, questa società non aveva backup, e sì, hanno pagato il riscatto. Un altro dipendente ha anche appena aperto un allegato infetto, pensò, stava ricevendo un conto. => Stupidità umana
user39063

A mio avviso, ciò sostiene fortemente una soluzione tecnica a due fattori. L' opzione " invia loro un conto " è meno utile con le persone che non sanno che stanno riempiendo in primo luogo.
MadHatter,

7

Abbiamo mitigato lo stesso problema utilizzando un fornitore esterno come gateway di posta elettronica (nel nostro caso, Exchange Online Protection ma ci sono molti altri servizi comparabili). Abbiamo quindi configurato tutti i nostri servizi di invio di e-mail per utilizzarlo come smarthost.

Ora, tutti i nostri messaggi in uscita sono associati alla reputazione del gateway di posta elettronica esterno. Per questo motivo, questi servizi svolgono un lavoro davvero notevole nel rilevare attività di posta elettronica in uscita sospette e avvisare tempestivamente.

Di solito sono un grande sostenitore dello sviluppo interno delle nostre soluzioni, ma l'e-mail è una di quelle cose in cui vale davvero la pena di ritornare sugli investimenti.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.