Sådan kontrolleres, om din Server sender Spam
virksomheder, universiteter og tjenesteudbydere (som internetudbydere, marketing-e-mail-tjenesteudbydere, applikationstjenester, SaaS, hostingudbydere) skal være bekymrede, hvis deres systemer sender spam. Der er et endnu værre problem; udbyderens mailplatform kan have været infiltreret af cyberkriminelle, så de kan udnytte platformen til at sende spam og phishing eller overtræde brugerkommunikation. Overtrædelser som dette gør det også lettere for cyberkriminelle at bevæge sig sideværts på dit netværk og andre dele af dit netværk og forretningsdrift.
denne artikel vil lede dig gennem de bedste sikkerhedspraksis for at kontrollere, om din server sender spam. Så her går vi.
tjek først dine mailserverlogfiler, og se derefter på blocklists second
Overvåg dine udgående maillogfiler
de to mest betydningsfulde cybersikkerhedsindikatorer for en server, der sender spam til en mailadministrator, er øgede bounces eller NDRs (ikke-leveringsrapporter) eller forlængelsen af dine servers udgående e-mail-køer. Begge forekommer, når IP-adresser eller domæner blokeres for en kompromitteret server, brugerens maskine eller en internetkonto. Derfor bør du regelmæssigt overvåge din e-mailservers var-log eller din Udvekslingsservers systemadministrator, hvis du vil fortælle, om din udvekslingsserver sender spam, som bloklister har identificeret.
ting du bør være på udkig efter omfatter:
- logfiler, der viser stigende satser på Ndr ‘ er, skyldes typisk en eller flere bloklister, der blokerer din IP-adresse eller domæne.
- stigende udgående e-mail-køer på grund af leveringsudsættelser svarer til betingelsen ovenfor. Derudover kan du få en advarsel fra din mailserver. Microsoft udveksling, for eksempel, sender en “SMTP-Server Fjern kø Længde alarm.”
begge disse er indikatorer for et mere væsentligt problem, og hvordan man kontrollerer, om min mailserver sender spam. Den bedste praksis er straks at sætte din udgående poststrøm på pause for at finde og løse problemet, så andre mailservere afviser ikke din e-mail og lader dine leverings-og indbakkepriser komme tilbage til det normale.
kontroller spam-bloklister
Næste, du skal tjekke for bloklister.
- Marker værktøjskasse eller Multi RBL for at se, om en anden blokeringsliste blokerer dig. Antag, at det viser sig at være begrænset til UCE Protect eller et par hobbyistbloklister, der blokerer dit sortiment. I så fald er dit problem sandsynligvis “omdømmebaseret” og et problem, der har bygget over tid, ikke et konfigurationsproblem (åbent relæ), hacket e-mail-server eller hackede e-mail-konti.
men vær opmærksom på, at ikke alle bloklister fungerer ens. Hvis du ikke kan se en blokering af trafikken, kan det være en af de få bloklister som UCE protect og SORBS, der vil straffe blokere et netværksområde eller endda en hel ASN for en hostingudbyder eller ASN. De gør dette, uanset hvem der ellers bruger IP-adresser i samme kvarter. Hvis du bliver blokeret af en af disse to lister (UCE og SORBS) og ikke af andre bloklister, har du eller din hostingudbyder et alvorligt netværksmisbrugsproblem.
Implementer alle følgende mail cyber security best practices
mens ovenstående trin er den hurtigste måde at komme tilbage på sporet, er følgende solide cybersikkerhedspraksis, du skal sikre din brugers e-mail effektivt og din mailserver og sænke spam og phish. Hvis du leverer mail som en tjeneste (som en internetudbyder, hostingudbyder, forretnings-e-mail-udbyder, CRM og e-mail-marketingudbyder) og ikke tager disse trin i dag, placerer du din virksomhed i fare.
Bloker spam, før det forlader dit netværk, og nulstil adgangskode de brugerkonti, der er blokeret
Bloker e-mails, der sendes af dine brugere, svarende til hvad du ville gøre med indgående e-mail, men ved hjælp af et andet sæt regler. Se på artiklen indgående og udgående beskyttelse-hvad er forskellen, og hvordan man får det rigtigt.
Seriøst, send ikke bare dårlige ting. Du skader din levering og dine brugere ved ikke at bruge dit system til at advare dem og beskytte dem. Brugere, der bruger en kompromitteret computer eller en hacket konto, vil vide det.
dårlige skuespillere, der sender affald, skal også vide det. Hvis du fortsætter med at bemærke dem, vil de kautionere og gå til en anden udbyder, før deres ting kommer ud, hvilket ikke er så meget som dig.
som virksomhed, uddannelsesinstitution, hostingudbyder eller internetudbyder, hvis du tilføjer udgående spamfiltrering, vil du være i stand til:
- Bloker forbindelser til din mailserver fra eksterne brugere, der bruger inficerede maskiner.
- i dine filtre skal du blokere meddelelser ved hjælp af identificerede spamdomæner eller nul omdømmedomæner, der ofte er knyttet til phish, samt korte eller online lager-URL ‘er (bloker ikke domænerne, kun URL’ er), der er knyttet til spam.
du redder dig selv fra at blive blokeret ved ikke at lade disse kompromitterede systemer og meddelelser, der er knyttet til spam-e-mails, overføre din mailserver.
for enhver bruger, du blokerer, skal du straks nulstille adgangskoden og underrette brugeren og fortælle dem, hvorfor deres mail blev blokeret. Hvis det er en forbindende IP-adresse med et problem, skal du informere brugeren om, at den forbindende IP (router eller maskine) blev kompromitteret. Hvis det er en meddelelse, der er blokeret på grund af indhold, skal du fortælle dem, at det er grunden til, at du nulstillede adgangskoden, bare hvis deres konto blev kompromitteret. Sandfærdigt vil de takke dig for at passe på deres sikkerhed.
endelig er de brugere og dårlige aktører, der får gentagne adgangskode nulstiller, enkle at se i dine nulstillingslogger. Dette hjælper dig med at se problemerne og løse dem i henhold til den politik, du beslutter at bruge.
Administrer din postmaster-adresse, og nulstil adgangskode de brugerkonti, der returneres som NDRs.
se efter NDRs til falske modtagere, der returneres til din adresse. Dette viser ondskabsfuld brug af dit domæne på dit netværk. Se artiklen Rfc5321 og Microsofts support til Udvekslingsserver for at få flere oplysninger.
hvis en meddelelse er blevet returneret til postmesteradressen, skal du fortælle brugeren, hvorfor du har nulstillet adgangskoden, bare hvis deres konto blev kompromitteret. Sandfærdigt vil de takke dig for at passe på deres sikkerhed.
endelig er de brugere og dårlige aktører, der får gentagne adgangskode nulstiller, enkle at se i dine nulstillingslogger. Dette hjælper dig med at se problemerne og løse dem i henhold til den politik, du beslutter at bruge.
hvis du er hostingudbyder, internetudbyder eller universitet, kan vi administrere disse rapporter for dig.
Bekræft ægtheden af din mailserver og lav en nedtagningsanmodning til netværket, der er vært for den uautentiske MTA
sørg for, at du ikke får dit domæne blokeret, fordi en anden bruger det spoofing dig, eller du har ikke et mand-i-midten-angreb. Et domæne uden SPF, der ikke signerer din udgående e-mail med DKIM, ingen DMARC DNS-poster tillader en cyberkriminel at falske din identitet og få dit domæne til at blive blokeret.
Spoofing af dine ledere eller medarbejderes e-mail-adresser samt et Man-in-the-middle-angreb gør det muligt for en cyberkriminel at sende beskeder til dine medarbejdere eller ændre kundemeddelelser. Begge er meget farlige.
se på dine SPF -, DKIM-og DMARC DNS-poster for at kontrollere, om posterne er korrekte.
til din DMARC-post skal du tilføje følgende tags for at få rapporter:
- “rua = mailto::”
dette tag fortæller modtageren, hvor man skal sende daglige rapporter for fejlene. Hvis du er hostingudbyder, internetudbyder eller universitet, og denne adresse er din adresse eller alias til adressen, - “fo:”
dette tag lader postkasseudbydere vide, at du vil have prøver af meddelelser, der mislykkes. - “1:”
dette er en vigtig mulighed for at tilføje under fo: da dette beder modtageren om at sende en DMARC-rapport, hvis en godkendelsesmekanisme (SPF eller DKIM) mislykkedes “pas.”.
tilmelding til “Feedback Loops” (FBLs) og action brugere med en høj klage/e-mails sendt ratio
nogle tænker på feedback loops som noget du abonnerer på, hvis du sender marketing e-mails. Nej, sir. De er værdifulde for alle, der kører en mailserver eller leverer campus, hosting, internetforbindelsestjenester.
hvis du er en virksomhed, skal du bruge et mailsystem, CRM eller e-mail-tjenesteudbyder til at administrere afmeldingerne. Hvis du abonnerer din virksomheds mailserver på en FBL-tjeneste, finder du den useriøse afdeling eller medarbejderspam, der forårsager dit problem. Du vil også se medarbejderne med kompromitterede systemer eller konti, der sender spam, så du kan foretage en nulstilling af adgangskode på deres konti og underrette dem om problemet.
Sammenfattende
hvis du har et problem med levering, skal du følge de to første trin: Overvåg dine udgående postlogfiler og kontroller spambloklister.
Langsigtet, implementere solide cybersikkerhedsteknikker:
- Bloker spam, før det forlader dit netværk, og overvåg de udgående filtreringsfejl.
- Administrer din postmester adresse.
- kontroller ægtheden af dine meddelelser, og overvåg fejlene ved hjælp af DMARC.
- endelig tilmelding til “Feedback Loops” (FBLs) og overvåge klage mængder af brugeren.
Følg disse cybersikkerhedstips, og dine brugere vil takke dig for at køre en sikker mail-operation.
hvis du kører en delt messaging service som en internetudbyder, Hosting Service, SaaS, eller sociale netværk udbyder, tale med os om vores blocklists. Ved design gør vi din indgående, udgående mailserver og netværksmisbrug langt mere håndterbar.