Comment puis-je réduire les dommages causés aux comptes de messagerie volés?


11

Actuellement, je propose un hébergement Web à quelques agences de publicité pour leurs clients premium. Mais actuellement, j'ai un gros problème avec le service de messagerie. Au cours de la dernière semaine, les comptes de messagerie électronique d'environ 7 sociétés ont été volés et utilisés pour envoyer du spam à l'aide de mon serveur de messagerie.

Eh bien, j'ai pu désactiver les comptes, car l'expéditeur atteignait les stratégies de ratio de mon serveur et de nombreux e-mails étaient dans la file d'attente. Eh bien, environ 40 Mails ont été livrés. Mais cela a suffi pour être mis sur liste noire et même un utilisateur a écrit un courrier personnel à l'abus du centre de données.

Actuellement, je n'ai aucune idée de ce que je peux faire pour empêcher le spam à partir d'un compte de messagerie volé. J'envoie chaque courrier sortant via SA et AV, mais ce n'est pas suffisant. Avant que le compte utilisateur n'atteigne le ratio de 40 Mails par jour ou n'inonde pas la file d'attente de messages, je ne peux pas détecter l'attaque.

Comment puis-je détecter de tels problèmes plus tôt?


8
Vous attrapez des comptes de messagerie compromis après seulement 40 messages? C'est assez impressionnant en fait. Il semble que cela soit davantage un problème de sécurité par mot de passe qu'un problème de numérisation des e-mails.
Belmin Fernandez

4
Pas une réponse à votre question, mais un conseil pour la prochaine fois. Lorsque quelqu'un écrit un e-mail personnel dans votre centre de données d'abus, vous devez répondre personnellement et rapidement. Ne vous contentez pas d'envoyer une lettre type - dites-leur à peu près ce que vous nous avez dit ici et que vous travaillez pour réduire le risque que cela se reproduise. Votre réponse personnelle et rapide améliorera considérablement votre réputation. Au moins, c'est mon expérience de prendre la relève en tant que maître de poste chez un FAI avec un problème de spam et de transformer sa réputation en moins d'un an en l'une des meilleures.
Jenny D

@Jenny D Eh bien, c'est ainsi que je réponds normalement aux signalements d'abus. Et normalement, les rapports d'abus sont plus informatifs. Mais dans ce cas, c'était plein de propos injurieux à mon sujet. "S'il vous plaît PERMANENTEMENT et fermez absolument le serveur de cette mère *** !!!" - juste pour citer une phrase de ce rapport d'abus. Il était en quelque sorte impressionnant que quelqu'un puisse développer une telle rage à propos d'un courrier indésirable avec juste un lien vers un site porno asiatique - peut-être avec Drive-Buy Malware. Mais bon, peut-être qu'il a juste eu une mauvaise journée (NLP FTW;))
user39063

user39063, vous souhaiterez peut-être à un moment donné accepter l'une des réponses à cette question, ce que vous faites en cliquant sur le contour "coche" que vous voyez à côté. Non seulement cette politesse est respectée dans l'étiquette locale, mais elle anime le système de réputation SF à la fois pour vous et pour l'auteur de la réponse acceptée. Mes excuses si vous le savez déjà.
MadHatter

Réponses:


17

J'ai hâte de voir d'autres réponses à cette question, mais mon sentiment est que si vous attrapez des comptes de messagerie compromis après seulement 40 spams, vous vous débrouillez très bien. Je ne suis pas sûr de pouvoir détecter des abus similaires aussi rapidement, et la perspective m'inquiète.

Mais je suis consterné que sept ensembles de pouvoirs aient été volés au cours de la seule semaine dernière.

Il me semble donc que de nouvelles améliorations ne se produiront pas du côté " détection et suppression anormales du courrier ", mais dans le département " minimiser le vol de justificatifs d'identité ".

Savez-vous comment ces clients ont perdu le contrôle de leurs informations d'identification? Si vous pouvez voir un modèle commun, je commencerais par atténuer cela. Si vous ne le pouvez pas, il existe des solutions à la fois techniques et non techniques pour aider à minimiser la perte d'informations d'identification.

Sur le plan technique, exiger une authentification à deux facteurs rend les jetons beaucoup plus difficiles à voler et rend ce vol beaucoup plus facile à détecter. SMTP AUTH ne se prête pas bien à auth à deux facteurs, mais vous pouvez envelopper le canal SMTP dans un réseau privé virtuel qui ne si prête elle - même; OpenVPN me vient à l'esprit, mais il est loin d'être unique à cet égard.

Sur le plan non technique, le problème ici est que la perte des informations d'identification n'est pas un casse-tête pour ceux qui sont censés s'en occuper. Vous pourriez envisager de modifier votre AUP afin que (a) les personnes soient clairement responsables des choses faites avec leurs informations d'identification, et (b) vous facturez des frais importants pour chaque courrier inapproprié envoyé avec un ensemble d'informations d'identification. Cela vous rembourse simultanément le temps que vous passez à traiter la perte de vos informations d'identification et informe vos clients qu'ils doivent s'occuper de ces informations ainsi que de celles de leurs services bancaires en ligne, car la perte des deux leur coûtera de l'argent réel.


2
Je sais de deux entreprises, comment ils ont perdu leurs informations d'identification. Un employé a reçu un e-mail de l'un de ses clients se demandant s'il ne pouvait pas ouvrir le fichier .doc joint, il l'a obtenu d'un autre client. Et cet employé vient de l'ouvrir. J'ai le fichier .doc. Selon virustotal, même une semaine après l'infection, seuls quelques AV ont détecté le malware. Le compte-gouttes a volé les informations d'identification de messagerie et installé le logiciel malveillant CryptoWall. Et oui, cette entreprise n'avait pas de sauvegarde, et oui, ils ont payé la rançon. Un autre employé vient également d'ouvrir une pièce jointe infectée, pensait-il, il recevait une facture. => Stupidité humaine
user39063

Cela plaide assez fortement pour une solution technique à deux facteurs, pour moi. L' option « envoyez-leur une facture » est moins utile pour les personnes qui ne savent pas qu'elles se bourrent en premier lieu.
MadHatter

7

Nous avons atténué le même problème en utilisant un fournisseur externe comme passerelle de messagerie (dans notre cas, Exchange Online Protection, mais il existe de nombreux autres services comparables). Nous avons ensuite configuré tous nos services d'envoi d'e-mails pour l'utiliser comme hôte intelligent.

Désormais, tous nos messages sortants sont associés à la réputation de la passerelle de messagerie externe. Pour cette raison, ces services font un travail très impressionnant en détectant les activités de courrier électronique sortant suspectes et en vous alertant rapidement.

Je suis généralement un grand partisan du développement de nos solutions en interne, mais le courrier électronique est l'une de ces choses où le retour sur investissement en vaut vraiment la peine.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.