目前,我正在为一些广告代理机构的高级客户提供一些网络托管服务。但目前我的电子邮件服务存在很大问题。上周,大约 7 家公司的电子邮件帐户被盗,并被用来通过我的邮件服务器发送垃圾邮件。
好吧,我能够禁用这些帐户,因为发件人违反了我服务器的比例策略,而且邮件队列中有很多邮件。好吧,实际上大约有 40 封邮件被发送了。但这足以被列入黑名单,甚至有一名用户写了一封私人邮件来谴责数据中心的滥用行为。
目前我不知道该怎么做才能防止被盗邮件帐户发送垃圾邮件。我通过 SA 和 AV 发送每封外发邮件,但这还不够。在用户帐户每天的邮件数量不超过 40 封或邮件队列不被淹没之前,我无法检测到攻击。
我怎样才能更早地发现这些问题?
答案1
我期待看到对这个问题的其他回答,但我的感觉是,如果你在仅仅 40 封垃圾邮件之后就捕获了被入侵的邮件账户,那么你就真的好吧。我不确定我是否能这么快地发现类似的滥用行为,这种前景让我很担心。
但是我震惊仅过去一周就有七套证件被盗。
因此,在我看来,进一步的改进不会在“异常邮件检测与删除“事情结束了,但在”最大限度地减少凭证盗窃“ 部门。
您知道这些客户是如何失去对凭证的控制的吗?如果您能发现一个常见模式,我会从缓解这一情况开始。如果您不能,那么有技术和非技术解决方案可以帮助最大限度地减少凭证丢失。
从技术角度来看,要求双重身份验证使得令牌更难被窃取,也使得这种盗窃行为更容易被发现。SMTP AUTH 不适合双重身份验证,但您可以将 SMTP 通道包装在 VPN 中,做所以很适合;我想到的是OpenVPN,但在这方面它远非独一无二。
在非技术方面,这里的问题是,证书丢失对那些应该照管证书的人来说并不是什么麻烦。你可以考虑更改你的 AUP,以便(A)人们对用他们的证书所做的事情负有明确的责任,并且(二)您将为每封带有一组凭证的不当邮件支付一大笔费用。这既补偿了您处理凭证丢失所花费的时间,又让您的客户意识到他们应该妥善保管这些凭证以及他们的网上银行凭证,因为丢失这两项凭证都会让他们损失真金白银。
答案2
我们通过使用外部供应商作为我们的电子邮件网关(在我们的例子中是 Exchange Online Protection,但还有许多其他类似的服务)缓解了同样的问题。然后,我们将所有电子邮件发送服务配置为将其用作智能主机。
现在,我们发送的所有邮件都与外部电子邮件网关的信誉相关联。因此,这些服务在检测可疑的外发电子邮件活动并及时向您发出警报方面做得非常出色。
我通常非常提倡在内部开发解决方案,但电子邮件是那些投资回报真正值得的东西之一。