¿Cómo puedo reducir el daño de las cuentas de correo robadas?

11

Actualmente estoy ofreciendo alojamiento web a algunas agencias de publicidad para sus clientes premium. Pero actualmente tengo un gran problema con el servicio de correo electrónico. En la última semana, las cuentas de correo electrónico de aproximadamente 7 compañías fueron robadas y se utilizaron para enviar spam usando mi servidor de correo.

Bueno, pude deshabilitar las cuentas, porque el remitente estaba infringiendo las políticas de proporción de mi servidor y había muchos correos en la cola de correo. Bueno, se entregaron alrededor de 40 correos. Pero fue suficiente para aparecer en la lista negra e incluso un usuario escribió un correo personal sobre el abuso del centro de datos.

Actualmente no tengo idea de lo que puedo hacer para evitar el envío de spam desde una cuenta de correo robada. Envío todos los correos salientes a través de SA y AV, pero no es suficiente. Antes de que la cuenta de usuario no alcance la proporción de 40 correos al día o no inunde la cola de mensajes, no puedo detectar el ataque.

¿Cómo puedo detectar estos problemas antes?

email exim spamassassin spam usuario39063
fuente
8
¿Está captando cuentas de correo electrónico comprometidas después de solo 40 mensajes? Eso es bastante impresionante en realidad. Parece que esto es más un problema de seguridad de contraseña que un problema de escaneo de correo electrónico.
Belmin Fernández
44
No es una respuesta a su pregunta, sino un consejo para la próxima vez. Cuando alguien escribe un correo electrónico personal en su centro de datos de abuso, debe responder personal y rápidamente. No solo envíe una carta de formulario, dígales lo que nos dijo aquí y que está trabajando para reducir el riesgo de que esto vuelva a suceder. Su respuesta personal y rápida mejorará inmensamente su reputación. Al menos, esta es mi experiencia al asumir el cargo de administrador de correo en un ISP con un problema de spam y convertir su reputación en menos de un año en uno de los mejores.
Jenny D
@ Jenny D Bueno, esta es la forma en que normalmente respondo a los informes de abuso. Y normalmente los informes de abuso son más informativos. Pero en ese caso estaba lleno de palabras abusivas sobre mí. "¡¡¡Por favor PERMANENTEMENTE y apaga absolutamente el servidor de esta madre *** !!!" - Solo para citar una oración de este informe de abuso. Fue de alguna manera impresionante, que alguien pueda desarrollar tanta ira por un correo no deseado con solo un enlace a un sitio porno asiático, tal vez con Drive-Buy Malware. Pero bueno, puede ser que haya tenido un mal día (NLP FTW;))
user39063
usuario39063, es posible que en algún momento desee aceptar una de las respuestas a esta pregunta, lo que hace haciendo clic en el esquema "marca" que se encuentra al lado. No solo es cortés dentro de la etiqueta local, sino que impulsa el sistema de reputación de SF tanto para usted como para el autor de la respuesta aceptada. Mis disculpas si ya lo sabes.
MadHatter

Respuestas:

17

Espero ver otras respuestas a esta pregunta, pero tengo la sensación de que si estás contactando cuentas de correo comprometidas después de que solo hayan pasado 40 spam, lo estás haciendo realmente bien. No estoy seguro de poder detectar un abuso similar tan rápido, y la perspectiva me preocupa.

Pero me horroriza que solo se robaron siete conjuntos de credenciales la semana pasada.

Por lo tanto, me parece que una mejora adicional no estará en el final de " detección y eliminación anormal de correo ", sino en el departamento de " minimizar el robo de credenciales ".

¿Sabes cómo estos clientes perdieron el control de sus credenciales? Si puede ver un patrón común, comenzaría mitigando eso. Si no puede, existen soluciones tanto técnicas como no técnicas para ayudar a minimizar la pérdida de credenciales.

En el frente técnico, requerir autenticación de dos factores hace que los tokens sean mucho más difíciles de robar, y hace que dicho robo sea mucho más fácil de detectar. SMTP AUTH no se presta bien a la autenticación de dos factores, pero podría envolver el canal SMTP en una VPN que sí se presta; Me viene a la mente OpenVPN, pero está lejos de ser único en ese sentido.

En el frente no técnico, el problema aquí es que la pérdida de credenciales no es un dolor de cabeza para aquellos que se supone que deben cuidarlos. Podría considerar cambiar su AUP para que (a) las personas sean claramente responsables de las cosas que se hacen con sus credenciales, y (b) usted cobra un cargo significativo por cada parte de correo inapropiado enviado con un conjunto de credenciales. Esto simultáneamente le reembolsa el tiempo que pasa lidiando con la pérdida de credenciales, y hace que sus clientes sepan que deben cuidar estas credenciales y las de su banca en línea, ya que la pérdida de ambas les costará dinero real.

MadHatter
fuente
2
Sé de dos compañías, cómo perdieron sus credenciales. Un empleado recibió un correo electrónico de uno de sus clientes preguntándose, no pudo abrir el archivo .doc adjunto, lo recibió de otro cliente. Y este empleado acaba de abrirlo. Tengo el archivo .doc. Según virustotal, incluso una semana después de la infección, solo unos pocos AV detectaron el malware. El cuentagotas robó las credenciales de correo e instaló el CryptoWall Malware. Y sí, esta compañía no tenía copias de seguridad, y sí, pagaron el rescate. Otro empleado también acaba de abrir un archivo adjunto infectado, pensó, estaba recibiendo una factura. => Estupidez humana
usuario39063 01 de
Eso argumenta bastante a favor de una solución técnica de dos factores, para mí. La opción " enviarles una factura " es menos útil con las personas que no saben que están llenando en primer lugar.
MadHatter
7

Hemos mitigado el mismo problema al utilizar un proveedor externo como nuestro portal de correo electrónico (en nuestro caso, Exchange Online Protection pero hay muchos otros servicios comparables). Luego configuramos todos nuestros servicios de envío de correo electrónico para usarlo como el más inteligente.

Ahora, todos nuestros mensajes salientes están asociados con la reputación de la puerta de enlace de correo electrónico externo. Debido a eso, estos servicios hacen un trabajo impresionante al detectar actividades sospechosas de correo electrónico saliente y alertarlo de inmediato.

Normalmente soy un gran defensor de desarrollar nuestras soluciones internamente, pero el correo electrónico es una de esas cosas en las que el retorno de la inversión realmente vale la pena.

Belmin Fernandez
fuente