Come posso ridurre il danno degli account di posta rubati?

Attualmente sto offrendo un po 'di web hosting ad alcune agenzie pubblicitarie per i loro clienti premium. Ma attualmente ho un grosso problema con il servizio e-mail. Nell'ultima settimana, gli account e-mail di circa 7 società sono stati rubati e utilizzati per inviare spam tramite il mio server di posta.

Bene, sono stato in grado di disabilitare gli account, perché il mittente stava colpendo i criteri di rapporto del mio server e molte e-mail erano in coda. Bene, circa 40 mail sono state effettivamente consegnate. Ma è bastato essere inseriti nella blacklist e persino un utente ha scritto una mail personale all'abuso del datacenter.

Al momento non ho idea di cosa posso fare per impedire lo spamming da un account di posta rubato. Mando ogni posta in uscita tramite SA e AV, ma non è sufficiente. Prima che l'account utente non raggiunga il rapporto di 40 messaggi al giorno o non inondi la coda dei messaggi, non riesco a rilevare l'attacco.

Come posso rilevare tali problemi in precedenza?

Non vedo l'ora di vedere altre risposte a questa domanda, ma la mia sensazione è che se stai rilevando account di posta compromessi dopo che sono passati solo 40 spam, stai andando davvero bene. Non sono sicuro di poter rilevare abusi simili così rapidamente e la prospettiva mi preoccupa.

Ma sono sconvolto dal fatto che sette serie di credenziali siano state rubate solo nella scorsa settimana.

Quindi mi sembra che un ulteriore miglioramento non riguarderà la parte " anomala del rilevamento e della rimozione della posta ", ma nel dipartimento " minimizzare il furto di credenziali ".

Sai come questi clienti hanno perso il controllo delle loro credenziali? Se riesci a vedere uno schema comune, inizierei a mitigarlo. In caso contrario, esistono soluzioni sia tecniche che non tecniche per ridurre al minimo la perdita di credenziali.

Dal punto di vista tecnico, richiedere l'autenticazione a due fattori rende i token molto più difficili da rubare e facilita il rilevamento di tali furti. SMTP AUTH non si presta bene all'autenticazione a due fattori, ma potresti avvolgere il canale SMTP in una VPN che si presta in tal modo; OpenVPN mi viene in mente, ma è tutt'altro che unico in questo senso.

Sul fronte non tecnico, il problema qui è che la perdita di credenziali non è un mal di testa per coloro che dovrebbero occuparsene. Potresti considerare di modificare il tuo AUP in modo che (a) le persone siano chiaramente responsabili delle cose fatte con le loro credenziali e (b) applichi un costo significativo per ogni pezzo di posta inappropriata inviata con un set di credenziali. Questo ti rimborsa contemporaneamente per il tempo che stai spendendo per gestire la perdita di credenziali e rende i tuoi clienti consapevoli che dovrebbero occuparsi di queste credenziali e di quelle del loro banking online, poiché la perdita di entrambi costerà loro denaro reale.

Abbiamo mitigato lo stesso problema utilizzando un fornitore esterno come gateway di posta elettronica (nel nostro caso, Exchange Online Protection ma ci sono molti altri servizi comparabili). Abbiamo quindi configurato tutti i nostri servizi di invio di e-mail per utilizzarlo come smarthost.

Ora, tutti i nostri messaggi in uscita sono associati alla reputazione del gateway di posta elettronica esterno. Per questo motivo, questi servizi svolgono un lavoro davvero notevole nel rilevare attività di posta elettronica in uscita sospette e avvisare tempestivamente.

Di solito sono un grande sostenitore dello sviluppo interno delle nostre soluzioni, ma l'e-mail è una di quelle cose in cui vale davvero la pena di ritornare sugli investimenti.