Wie kann ich den Schaden gestohlener E-Mail-Konten reduzieren?

11

Derzeit biete ich einigen Werbeagenturen Webhosting für ihre Premium-Kunden an. Derzeit habe ich jedoch ein großes Problem mit dem E-Mail-Dienst. In der letzten Woche wurden die E-Mail-Konten von ungefähr 7 Unternehmen gestohlen und zum Versenden von Spam über meinen Mail-Server verwendet.

Nun, ich konnte die Konten deaktivieren, da der Absender die Verhältnisrichtlinien meines Servers traf und sich viele E-Mails in der E-Mail-Warteschlange befanden. Nun, ungefähr 40 Mails wurden tatsächlich zugestellt. Aber es war genug, um auf die schwarze Liste gesetzt zu werden, und sogar ein Benutzer schrieb eine persönliche Mail zum Missbrauch des Rechenzentrums.

Derzeit habe ich keine Ahnung, was ich tun kann, um Spam von einem gestohlenen E-Mail-Konto zu verhindern. Ich sende jede ausgehende Mail über SA und AV, aber das reicht nicht aus. Bevor das Benutzerkonto nicht das Verhältnis von 40 Mails pro Tag erreicht oder die Nachrichtenwarteschlange nicht überflutet, kann ich den Angriff nicht erkennen.

Wie kann ich solche Probleme früher erkennen?

email exim spamassassin spam user39063
quelle
8
Sie fangen bereits nach 40 Nachrichten gefährdete E-Mail-Konten ab? Das ist eigentlich ziemlich beeindruckend. Dies scheint eher ein Problem der Kennwortsicherheit als ein Problem beim Scannen von E-Mails zu sein.
Belmin Fernandez
4
Keine Antwort auf Ihre Frage, sondern ein Ratschlag für das nächste Mal. Wenn jemand eine persönliche E-Mail an Ihr Missbrauchs-Rechenzentrum schreibt, sollten Sie persönlich und schnell antworten. Senden Sie nicht nur einen Serienbrief - sagen Sie ihnen ziemlich genau, was Sie uns hier erzählt haben und dass Sie daran arbeiten, das Risiko eines erneuten Auftretens zu verringern. Ihre persönliche und schnelle Antwort wird Ihren Ruf immens verbessern. Zumindest ist dies meine Erfahrung aus der Übernahme als Postmaster bei einem ISP mit einem Spam-Problem und der Umstellung seines Rufs in weniger als einem Jahr auf einen der besten.
Jenny D
@ Jenny D Nun, das ist der Weg, ich antworte normalerweise auf Missbrauchsberichte. Und normalerweise sind die Missbrauchsberichte informativer. Aber in diesem Fall war es voller missbräuchlicher Worte über mich. "Bitte dauerhaft und absolut den Server dieser Mutter herunterfahren *** !!!" - um nur einen Satz dieses Missbrauchsberichts zu zitieren. Es war irgendwie beeindruckend, dass jemand eine solche Wut über eine Spam-Mail mit nur einem Link zu einer asiatischen Pornoseite entwickeln kann - vielleicht mit Drive-Buy Malware. Aber gut, vielleicht hatte er nur einen schlechten Tag (NLP FTW;))
user39063
Benutzer39063, möchten Sie möglicherweise irgendwann eine der Antworten auf diese Frage akzeptieren, indem Sie auf die nebenstehende Schaltfläche "Häkchen" klicken. Dies ist nicht nur höflich innerhalb der lokalen Etikette, es steuert auch das SF-Reputationssystem sowohl für Sie als auch für den Autor der akzeptierten Antwort. Ich entschuldige mich, wenn Sie das bereits wissen.
MadHatter

Antworten:

17

Ich freue mich auf weitere Antworten auf diese Frage, aber ich habe das Gefühl, dass es Ihnen wirklich gut geht, wenn Sie kompromittierte E-Mail-Konten abfangen, nachdem nur 40 Spam-Mails eingegangen sind . Ich bin mir nicht sicher, ob ich einen ähnlichen Missbrauch so schnell erkennen kann, und die Aussicht macht mir Sorgen.

Aber ich bin entsetzt, dass allein in der vergangenen Woche sieben Anmeldeinformationen gestohlen wurden.

Daher scheint es mir, dass eine weitere Verbesserung nicht im Bereich " Erkennung und Entfernung abnormaler E-Mails ", sondern in der Abteilung " Diebstahl von Anmeldeinformationen minimieren " liegen wird.

Wissen Sie, wie diese Kunden die Kontrolle über ihre Anmeldeinformationen verloren haben? Wenn Sie ein gemeinsames Muster sehen können, würde ich damit beginnen, dies zu mildern. Wenn Sie dies nicht können, gibt es sowohl technische als auch nichttechnische Lösungen, um den Verlust von Anmeldeinformationen zu minimieren.

In technischer Hinsicht macht das Erfordernis einer Zwei-Faktor-Authentifizierung das Stehlen von Token viel schwieriger und das Erkennen eines solchen Diebstahls viel einfacher. SMTP AUTH eignet sich nicht gut für die Zwei-Faktor-Authentifizierung, aber Sie können den SMTP-Kanal in ein VPN einbinden, das sich dafür eignet. OpenVPN fällt mir ein, ist aber in dieser Hinsicht alles andere als einzigartig.

Im nicht-technischen Bereich besteht das Problem darin, dass der Verlust von Anmeldeinformationen keine Kopfschmerzen für diejenigen darstellt, die sich um sie kümmern sollen. Sie könnten erwägen, Ihre AUP so zu ändern, dass (a) Personen eindeutig für die mit ihren Anmeldeinformationen erledigten Dinge verantwortlich sind und (b) Sie für jede unangemessene E-Mail, die mit einer Reihe von Anmeldeinformationen gesendet wird, eine erhebliche Gebühr erheben. Dies erstattet Ihnen gleichzeitig die Zeit, die Sie mit dem Verlust von Anmeldeinformationen verbringen, und macht Ihre Kunden darauf aufmerksam, dass sie diese Anmeldeinformationen sowie die für ihr Online-Banking betreuen sollten, da der Verlust von beiden sie echtes Geld kostet.

MadHatter
quelle
2
Ich weiß von zwei Unternehmen, wie sie ihre Anmeldeinformationen verloren haben. Ein Mitarbeiter erhielt eine E-Mail von einem seiner Kunden, der sich fragte, er könne die angehängte DOC-Datei nicht öffnen, die er von einem anderen Kunden erhalten habe. Und dieser Mitarbeiter hat es gerade geöffnet. Ich habe die DOC-Datei. Laut virustotal haben sogar eine Woche nach der Infektion nur wenige AVs die Malware entdeckt. Der Dropper hat die E-Mail-Anmeldeinformationen gestohlen und die CryptoWall-Malware installiert. Und ja, diese Firma hatte keine Backups und ja, sie haben das Lösegeld bezahlt. Ein anderer Mitarbeiter hat gerade einen infizierten Anhang geöffnet, dachte er, er würde eine Rechnung bekommen. => Menschliche Dummheit
user39063
Das spricht für mich ziemlich stark für eine technische Zwei-Faktor-Lösung. Die Option " Senden Sie ihnen eine Rechnung " ist weniger hilfreich für Leute, die nicht wissen, dass sie sich überhaupt vollstopfen.
MadHatter
7

Wir haben das gleiche Problem durch die Verwendung eines externen Anbieters als E-Mail-Gateway behoben (in unserem Fall Exchange Online Protection, aber es gibt viele andere vergleichbare Dienste). Wir haben dann alle unsere E-Mail-Versanddienste so konfiguriert, dass sie als Smarthost verwendet werden.

Jetzt sind alle unsere ausgehenden Nachrichten mit dem Ruf des externen E-Mail-Gateways verbunden. Aus diesem Grund leisten diese Dienste einen sehr beeindruckenden Beitrag zur Erkennung verdächtiger ausgehender E-Mail-Aktivitäten und zur sofortigen Benachrichtigung.

Normalerweise bin ich ein großer Befürworter der internen Entwicklung unserer Lösungen, aber E-Mail ist eines der Dinge, bei denen sich der Return on Investment wirklich lohnt.

Belmin Fernandez
quelle