Como posso reduzir o dano de contas de correio roubadas?

Atualmente, estou oferecendo hospedagem na web para algumas agências de publicidade para seus clientes premium. Mas atualmente tenho um grande problema com o serviço de email. Na última semana, as contas de email de cerca de 7 empresas foram roubadas e usadas para enviar spam usando meu servidor de email.

Bem, consegui desativar as contas, porque o remetente estava cumprindo as políticas de proporção do meu servidor e muitos e-mails estavam na fila de e-mails. Bem, cerca de 40 correios foram entregues. Mas foi o suficiente para entrar na lista negra e até um usuário escreveu um email pessoal para o abuso do datacenter.

Atualmente, não tenho idéia do que posso fazer para impedir o spam de uma conta de email roubada. Envio todos os e-mails enviados por SA e AV, mas não é suficiente. Antes de a conta do usuário não atingir a proporção de 40 Mails por dia ou não inundar a fila de mensagens, não consigo detectar o ataque.

Como posso detectar esses problemas anteriormente?

Estou ansioso para ver outras respostas para essa pergunta, mas minha sensação é de que, se você pegar contas de correio comprometidas após apenas 40 spams, estará indo muito bem. Não sei se consegui detectar abusos semelhantes tão rapidamente, e a perspectiva me preocupa.

Mas estou chocado que sete conjuntos de credenciais tenham sido roubados apenas na semana passada.

Portanto, parece-me que melhorias adicionais não estarão no objetivo " detecção e remoção de correio anormais ", mas no departamento " minimizar o roubo de credenciais ".

Você sabe como esses clientes perderam o controle de suas credenciais? Se você pode ver um padrão comum, eu começaria a mitigar isso. Caso contrário, existem soluções técnicas e não técnicas para ajudar a minimizar a perda de credenciais.

Na frente técnica, exigir autenticação de dois fatores torna os tokens muito mais difíceis de roubar e facilita a detecção de roubo. O SMTP AUTH não se presta bem à autenticação de dois fatores, mas você pode agrupar o canal SMTP em uma VPN que se presta; O OpenVPN vem à mente, mas está longe de ser único nesse sentido.

Na frente não técnica, o problema aqui é que a perda de credenciais não é uma dor de cabeça para aqueles que deveriam cuidar delas. Você pode alterar sua AUP para que (a) as pessoas sejam claramente responsáveis ​​pelas coisas feitas com suas credenciais e (b) faça uma cobrança significativa por cada correio inapropriado enviado com um conjunto de credenciais. Isso o reembolsa simultaneamente pelo tempo que você gasta lidando com a perda de credenciais e conscientiza seus clientes de que eles devem cuidar dessas credenciais e também das transações bancárias on-line, pois a perda de ambas custará dinheiro real.

Atenuamos o mesmo problema usando um fornecedor externo como nosso gateway de email (no nosso caso, o Exchange Online Protection, mas existem muitos outros serviços comparáveis). Em seguida, configuramos todos os nossos serviços de envio de email para usá-lo como o mais inteligente.

Agora, todas as nossas mensagens enviadas estão associadas à reputação do gateway de email externo. Por esse motivo, esses serviços fazem um trabalho muito impressionante na detecção de atividades suspeitas de envio de emails e no alerta imediato.

Normalmente sou um grande defensor do desenvolvimento de nossas soluções internamente, mas o e-mail é uma daquelas coisas em que o retorno do investimento realmente vale a pena.