Jak mogę zmniejszyć szkody skradzionych kont pocztowych?

Obecnie oferuję hosting niektórym agencjom reklamowym klientom premium. Ale obecnie mam wielki problem z usługą e-mail. W ostatnim tygodniu konta e-mail około 7 firm zostały skradzione i wykorzystane do wysyłania spamu za pomocą mojego serwera pocztowego.

Cóż, udało mi się wyłączyć konta, ponieważ nadawca uderzał w zasady dotyczące proporcji mojego serwera, a wiele wiadomości było w kolejce pocztowej. Cóż, faktycznie dostarczono około 40 maili. Ale wystarczyło, aby znaleźć się na czarnej liście, a nawet jeden użytkownik napisał osobistą wiadomość o nadużyciu centrum danych.

Obecnie nie mam pojęcia, co mogę zrobić, aby zapobiec spamowaniu ze skradzionego konta pocztowego. Wysyłam każdą pocztę wychodzącą za pośrednictwem SA i AV, ale to nie wystarczy. Zanim konto użytkownika nie osiągnie proporcji 40 wiadomości e-mail dziennie lub nie zalej kolejki wiadomości, nie mogę wykryć ataku.

Jak mogę wcześniej wykryć takie problemy?

— użytkownik39063
źródło

Przechwytujesz zainfekowane konta e-mail po zaledwie 40 wiadomościach? To naprawdę imponujące. Wydaje się, że jest to bardziej problem z zabezpieczeniem hasłem niż problem ze skanowaniem wiadomości e-mail.

— Belmin Fernandez

Nie odpowiedź na twoje pytanie, ale porada na następny raz. Gdy ktoś napisze osobistą wiadomość e-mail w twoim centrum danych o nadużyciach, powinieneś osobiście i szybko odpowiedzieć. Nie wysyłaj po prostu listu z formularzem - powiedz im dokładnie, co nam tutaj powiedziałeś i że pracujesz, aby zmniejszyć ryzyko powtórzenia się tego zdarzenia. Twoja osobista i szybka reakcja znacznie poprawi twoją reputację. Przynajmniej takie jest moje doświadczenie z przejęcia stanowiska postmastera u dostawcy usług internetowych z problemem spamu i zamiany jego reputacji za niecały rok na jedną z najlepszych.

— Jenny D.

@Jenny D. No cóż, w ten sposób zwykle odpowiadam na zgłoszenia nadużyć. Zwykle raporty o nadużyciach są bardziej pouczające. Ale w takim przypadku było pełne obraźliwych słów o mnie. „Proszę TRWAŁO i absolutnie zamknąć serwer tej matki *** !!!” - żeby zacytować jedno zdanie tego raportu o nadużyciach. To było w jakiś sposób imponujące, że ktoś może rozwinąć taką furię na temat spamu za pomocą linku do azjatyckiej strony z pornografią - być może za pomocą oprogramowania Drive-Buy Malware. Ale cóż, być może miał po prostu zły dzień (NLP FTW;))

— user39063

user39063, w pewnym momencie możesz chcieć zaakceptować jedną z odpowiedzi na to pytanie, co robisz, klikając znajdujący się obok obrys „zaznaczenia”. Jest nie tylko uprzejmy w lokalnej etykiecie, ale napędza system reputacji SF zarówno dla ciebie, jak i autora zaakceptowanej odpowiedzi. Przepraszam, jeśli już to wiesz.

— MadHatter

Odpowiedzi:

Nie mogę się doczekać, aby zobaczyć inne odpowiedzi na to pytanie, ale mam wrażenie, że jeśli łapiesz zainfekowane konta pocztowe po przejściu zaledwie 40 spamów, masz się naprawdę dobrze. Nie jestem pewien, czy mogłem tak szybko wykryć podobne nadużycia, a perspektywa mnie martwi.

Jestem jednak przerażony, że w zeszłym tygodniu skradziono siedem zestawów danych uwierzytelniających.

Wydaje mi się więc, że dalsza poprawa nie będzie polegać na „ nieprawidłowym wykrywaniu i usuwaniu poczty ”, ale na dziale „ minimalizacji kradzieży danych uwierzytelniających ”.

Czy wiesz, jak ci klienci stracili kontrolę nad swoimi danymi uwierzytelniającymi? Jeśli widzisz wspólny wzór, zacznę od złagodzenia tego. Jeśli nie możesz, istnieją rozwiązania zarówno techniczne, jak i nietechniczne, które pomogą zminimalizować utratę danych uwierzytelniających.

Z technicznego punktu widzenia wymaganie uwierzytelnienia dwuskładnikowego znacznie utrudnia kradzież tokenów i znacznie ułatwia wykrycie takiej kradzieży. SMTP AUTH nie nadaje się dobrze do uwierzytelniania dwuskładnikowego, ale można zawinąć kanał SMTP w sieć VPN, która tak sobie nadaje; Przychodzi mi na myśl OpenVPN, ale nie jest pod tym względem wyjątkowy.

Na froncie nietechnicznym problemem jest to, że utrata danych uwierzytelniających nie stanowi problemu dla tych, którzy mają się nimi opiekować. Możesz rozważyć zmianę AUP, aby (a) ludzie byli wyraźnie odpowiedzialni za czynności związane z ich poświadczeniami, oraz (b) ponosiliście znaczną opłatę za każdą część niewłaściwej poczty wysłanej z zestawem poświadczeń. Spowoduje to jednocześnie zwrot kosztów za utratę danych uwierzytelniających i uświadomienie klientom, że powinni oni dbać o te dane uwierzytelniające, a także o ich bankowość internetową, ponieważ utrata obu będzie kosztować ich prawdziwe pieniądze.

— Szalony Kapelusznik
źródło

Wiem z dwóch firm, jak straciły swoje uprawnienia. Jeden pracownik dostał wiadomość e-mail jednego ze swoich klientów, zastanawiając się, że nie może otworzyć załączonego pliku doc, który dostał od innego klienta. I ten pracownik właśnie go otworzył. Mam plik doc. Według virustotal nawet tydzień po infekcji tylko kilka AV wykryło szkodliwe oprogramowanie. Dropper ukradł poświadczenia poczty i zainstalował złośliwe oprogramowanie CryptoWall. I tak, ta firma nie miała kopii zapasowych i tak, zapłacili okup. Inny pracownik właśnie otworzył zainfekowany załącznik, pomyślał, że dostaje rachunek. => Głupota ludzka

— 39063

To dość mocno przemawia za dwuskładnikowym rozwiązaniem technicznym. Opcja „ wyślij im rachunek ” jest mniej pomocna w przypadku osób, które nie wiedzą, że to robią.

— MadHatter

Łagodziliśmy ten sam problem, używając zewnętrznego dostawcy jako naszej bramy e-mail (w naszym przypadku Exchange Online Protection, ale istnieje wiele innych porównywalnych usług). Następnie skonfigurowaliśmy wszystkie nasze usługi wysyłania e-maili, aby używały tego jako smarthost.

Teraz wszystkie nasze wiadomości wychodzące są związane z reputacją zewnętrznej bramki e-mail. Z tego powodu usługi te wykonują bardzo imponującą pracę w wykrywaniu podejrzanych działań wychodzących wiadomości e-mail i natychmiastowym ostrzeganiu.

Zwykle jestem wielkim zwolennikiem opracowywania własnych rozwiązań, ale e-mail jest jedną z tych rzeczy, w których zwrot z inwestycji jest naprawdę tego wart.

— Belmin Fernandez
źródło