Как вы предотвращаете рассылку спама вашими пользователями?

Таким образом, в третий раз за две недели (возможно, меньше) один из наших клиентов скомпрометировал свой пароль, и спамер отправлял почту с использованием своего имени пользователя и пароля с помощью нашей веб-почты. В результате наш сервер исходящей почты был включен в список Spamhaus, и большая часть нашей исходящей почты отклоняется.

Я не могу придумать, как этого избежать (хотя сейчас наш сервер веб-почты использует Sendmail вместо SMTP, но это лишь ограничивает масштаб проблемы), тем не менее, у крупных интернет-провайдеров, похоже, такой проблемы не возникает.

6 ответов

Решение

Наша система защиты от спама может сканировать исходящий почтовый поток именно для такой проблемы. У нас более 20000 студентов, поэтому использование веб-почты для рассылки спама из нашей системы - это проблема, с которой мы столкнулись до того, как переместили их всех в WindowsLive@Edu. У нас была та же проблема, что и у вас, наши исходящие почтовые программы испортили свою репутацию в области ИС. Как только мы перешли на другую систему электронной почты и вышли из SquirrelMail, проблема исчезла.

Гигиена электронной почты - это улица с двусторонним движением, поскольку порталы электронной почты распространены повсеместно. Вам необходимо сканировать исходящий поток так же сложно, как и входящий. Вы должны обратить внимание на обнаружение спама в исходящем потоке, поскольку они могут указывать на такие проблемы, как жертвы фишинга.

Чтобы решить эту проблему, нам не нужно было привлекать к работе сторонних разработчиков, это был самый дешевый способ обслуживания 20000 пользователей. Есть готовые продукты, которые будут делать это, они просто стоят за место, как и все остальное.

У меня вопрос: откуда спам идет через ваш интерфейс веб-почты?

Вы разрешаете отправку электронной почты вашим клиентам только через интерфейс веб-почты, если они не находятся внутри одного из ваших сетевых блоков?

Вы блокируете, кто может или не может передать?

А какова ваша политика паролей? Вы разрешаете простые пароли, которые легко взломать? Шифрование при передаче данных?

Вы ограничиваете объем почты, которая может быть передана от конкретного пользователя? Большинство пользователей не отправляют электронную почту в объемах, которые составляют пропорции спама, не вызывая несколько тревожных звонков.

Вы уверены, что они используют вашу веб-почту? Веб-почта - это веб-интерфейс, используемый для отправки электронной почты, мы согласны с этим?

Я советую вам удалить вашу веб-почту как можно скорее, потому что кто-то, скорее всего, использует какую-то уязвимость в вашем программном обеспечении веб-почты. Обновите его и верните в онлайн. Если рассылка спама продолжается, попробуйте узнать, какой пользователь отправляет электронную почту, и отключите его учетную запись.

Убедитесь, что кто-то не вставил вредоносную веб-страницу, которая отправляет электронную почту. У меня была именно такая ситуация 2 недели назад. Если так, удалите это как можно скорее и серьезно пересмотрите переустановку своего сервера.

Кроме того, является ли веб-сервер локальным для веб-почты? Если это так, вы уверены, что вы не открытое реле? Есть тесты, которые позволяют вам проверить это.

Крупные интернет-провайдеры позволяют только IP-адресам своих клиентов отправлять электронную почту через свои почтовые серверы. Если вы не являетесь интернет-провайдером, вы хотите заставить своих клиентов проходить аутентификацию (см. SASL-аутентификацию для Sendmail) или разрешить использование определенного IP-адреса, который, как вы знаете, хорош.

Все просто: мы сканируем как входящую, так и исходящую электронную почту с использованием одного и того же набора правил спама / антивируса, без исключений. Мы делаем это, чтобы защитить наших клиентов и поставщиков по той же причине, по которой вы в настоящее время попали в черный список в spamhaus - потому что это превращает вашу электронную почту в деловую ответственность, если что-то пойдет не так.

Есть несколько способов решения этой проблемы.

Прежде всего, убедитесь, что вам необходим сервер исходящей ретрансляции. Сегодня кажется, что правильный протокол - заставить пользователей использовать сервер исходящей электронной почты своего интернет-провайдера для отправки любых сообщений. По этой причине некоторые интернет-провайдеры даже блокируют исходящие соединения через порт 25.

В вашей ситуации кажется, что часть веб-почты была взломана. Вам нужно включить аутентификацию по паролю, но она у вас есть. Так что ты можешь сделать?

Я бы порекомендовал такой программный пакет, как CSF / LFD ( Config Server Security and Firewall / Login Failure Daemon). Это программное обеспечение просматривает ваши журналы и помечает при достижении порогового значения. На серверах, которые я запускаю, у меня настроено оповещение, если за более чем 5 минут отправлено более 100 сообщений. Это относительно безопасное число, на которое можно положиться. Если спамер хочет ограничить это ограничение, он может, но есть множество других серверов с более слабыми протоколами.

Поймав несколько аккаунтов, которые делают это (они платили клиентам), я вытащил TOS и пункт о защите от спама и закрыл их. В вашем случае он просто предупредил бы вас, что их учетная запись отправляет спам, и тогда вы могли бы попросить их сменить пароль. И, как вы знаете, оправдание "мой пароль был взломан" - одна из причин № 1, по которой спаммеры будут пытаться продолжать пользоваться вашими услугами! Убедитесь, что вы дважды проверили, чтобы убедиться, что ваш клиент законный.

Другие правы. Если вы хотите, чтобы клиенты использовали ваш сервер для отправки электронных писем, очень важно сканировать исходящие сообщения так же, как и входящие, чтобы убедиться, что они законны. Наказания за внесение вашего сервера в черный список слишком велики.

Как был взломан пароль?

Что такое политика паролей?

Каким провайдером веб-почты вы пользуетесь?

Использует ли сайт веб-почты SSL?

Можете ли вы / вы фильтровать исходящую почту, если вы можете установить фильтр для явного исходящего спама?

Другие вопросы по тегам