Comment puis-je réduire les dommages causés aux comptes de messagerie volés?

Actuellement, je propose un hébergement Web à quelques agences de publicité pour leurs clients premium. Mais actuellement, j'ai un gros problème avec le service de messagerie. Au cours de la dernière semaine, les comptes de messagerie électronique d'environ 7 sociétés ont été volés et utilisés pour envoyer du spam à l'aide de mon serveur de messagerie.

Eh bien, j'ai pu désactiver les comptes, car l'expéditeur atteignait les stratégies de ratio de mon serveur et de nombreux e-mails étaient dans la file d'attente. Eh bien, environ 40 Mails ont été livrés. Mais cela a suffi pour être mis sur liste noire et même un utilisateur a écrit un courrier personnel à l'abus du centre de données.

Actuellement, je n'ai aucune idée de ce que je peux faire pour empêcher le spam à partir d'un compte de messagerie volé. J'envoie chaque courrier sortant via SA et AV, mais ce n'est pas suffisant. Avant que le compte utilisateur n'atteigne le ratio de 40 Mails par jour ou n'inonde pas la file d'attente de messages, je ne peux pas détecter l'attaque.

Comment puis-je détecter de tels problèmes plus tôt?

J'ai hâte de voir d'autres réponses à cette question, mais mon sentiment est que si vous attrapez des comptes de messagerie compromis après seulement 40 spams, vous vous débrouillez très bien. Je ne suis pas sûr de pouvoir détecter des abus similaires aussi rapidement, et la perspective m'inquiète.

Mais je suis consterné que sept ensembles de pouvoirs aient été volés au cours de la seule semaine dernière.

Il me semble donc que de nouvelles améliorations ne se produiront pas du côté " détection et suppression anormales du courrier ", mais dans le département " minimiser le vol de justificatifs d'identité ".

Savez-vous comment ces clients ont perdu le contrôle de leurs informations d'identification? Si vous pouvez voir un modèle commun, je commencerais par atténuer cela. Si vous ne le pouvez pas, il existe des solutions à la fois techniques et non techniques pour aider à minimiser la perte d'informations d'identification.

Sur le plan technique, exiger une authentification à deux facteurs rend les jetons beaucoup plus difficiles à voler et rend ce vol beaucoup plus facile à détecter. SMTP AUTH ne se prête pas bien à auth à deux facteurs, mais vous pouvez envelopper le canal SMTP dans un réseau privé virtuel qui ne si prête elle - même; OpenVPN me vient à l'esprit, mais il est loin d'être unique à cet égard.

Sur le plan non technique, le problème ici est que la perte des informations d'identification n'est pas un casse-tête pour ceux qui sont censés s'en occuper. Vous pourriez envisager de modifier votre AUP afin que (a) les personnes soient clairement responsables des choses faites avec leurs informations d'identification, et (b) vous facturez des frais importants pour chaque courrier inapproprié envoyé avec un ensemble d'informations d'identification. Cela vous rembourse simultanément le temps que vous passez à traiter la perte de vos informations d'identification et informe vos clients qu'ils doivent s'occuper de ces informations ainsi que de celles de leurs services bancaires en ligne, car la perte des deux leur coûtera de l'argent réel.

Nous avons atténué le même problème en utilisant un fournisseur externe comme passerelle de messagerie (dans notre cas, Exchange Online Protection, mais il existe de nombreux autres services comparables). Nous avons ensuite configuré tous nos services d'envoi d'e-mails pour l'utiliser comme hôte intelligent.

Désormais, tous nos messages sortants sont associés à la réputation de la passerelle de messagerie externe. Pour cette raison, ces services font un travail très impressionnant en détectant les activités de courrier électronique sortant suspectes et en vous alertant rapidement.

Je suis généralement un grand partisan du développement de nos solutions en interne, mais le courrier électronique est l'une de ces choses où le retour sur investissement en vaut vraiment la peine.