Dezember 10, 2021

So überprüfen Sie, ob Ihr Server Spam sendet

Unternehmen, Universitäten und Dienstanbieter (wie; ISPs, Marketing-E-Mail-Dienstanbieter, Anwendungsdienste, SaaS, Hosting-Anbieter) müssen besorgt sein, wenn ihre Systeme Spam senden. Es gibt ein noch schlimmeres Problem; Die E-Mail-Plattform des Anbieters wurde möglicherweise von Cyberkriminellen infiltriert, sodass sie die Plattform zum Senden von Spam und Phishing oder zum Verletzen der Benutzerkommunikation nutzen können. Verstöße wie diese erleichtern es dem Cyberkriminellen auch, sich seitlich in Ihrem Netzwerk und in anderen Teilen Ihres Netzwerks und Ihres Geschäftsbetriebs zu bewegen.
Dieser Artikel führt Sie durch die besten Sicherheitspraktiken, um zu überprüfen, ob Ihr Server Spam sendet. Also los geht’s.

Überprüfen Sie zuerst Ihre E-Mail-Serverprotokolle und dann die Blocklisten

Überwachen Sie Ihre ausgehenden E-Mail-Protokolle

Die beiden wichtigsten Cybersicherheitsindikatoren für einen Server, der Spam sendet, sind für einen E-Mail-Administrator erhöhte Bounces oder NDRs (Non-Delivery Reports) oder die Verlängerung der ausgehenden E-Mail-Warteschlangen Ihrer Server. Beides tritt auf, wenn IP-Adressen oder Domänen für einen kompromittierten Server, den Computer eines Benutzers oder ein Webkonto blockiert werden. Daher sollten Sie regelmäßig das Linux-Var-Protokoll Ihres E-Mail-Servers oder den Systemmanager Ihres Exchange-Servers überwachen, wenn Sie feststellen möchten, ob Ihr Exchange-Server Spam sendet, den Blocklisten identifiziert haben.
Dinge, die Sie suchen sollten, sind:

  • Protokolle, die steigende NDR-Raten anzeigen, werden normalerweise durch eine oder mehrere Blocklisten verursacht, die Ihre IP-Adresse oder Domain blockieren.
  • Die Erhöhung der Warteschlangen für ausgehende E-Mails aufgrund von Lieferverzögerungen ähnelt der obigen Bedingung. Darüber hinaus erhalten Sie möglicherweise eine Benachrichtigung von Ihrem Mailserver. Microsoft Exchange sendet beispielsweise eine Warnung mit der Aufschrift „SMTP Server Remote Queue Length Alert.“

Beides sind Indikatoren für ein schwerwiegenderes Problem und für die Überprüfung, ob mein Mailserver Spam sendet. Es empfiehlt sich, den ausgehenden E-Mail-Fluss sofort anzuhalten, um das Problem zu finden und zu beheben, damit andere E-Mail-Server Ihre E-Mail nicht ablehnen und Ihre Zustellungs- und Posteingangsraten wieder normal werden.

Spam-Blocklisten prüfen

Als nächstes müssen Sie nach Blocklisten suchen.

  • Überprüfen Sie MX Tool Box oder Multi RBL, um zu sehen, ob eine andere Blockliste Sie blockiert. Angenommen, es stellt sich heraus, dass es auf UCE Protect oder einige Hobby-Blocklisten beschränkt ist, die Ihre Reichweite blockieren. In diesem Fall ist Ihr Problem wahrscheinlich „reputationsbasiert“ und ein Problem, das sich im Laufe der Zeit entwickelt hat, kein Konfigurationsproblem (offenes Relay), gehackter E-Mail-Server oder gehackte E-Mail-Konten.
    Aber seien Sie sich bewusst, nicht jede Blockliste verhält sich gleich. Wenn Sie nicht sehen, dass Abusix oder Spamhaus den Datenverkehr blockieren, ist dies möglicherweise eine der wenigen Blocklisten wie UCE protect und SORBS, die einen Netzwerkbereich oder sogar eine gesamte ASN für einen Hosting-Anbieter oder ASN strafbar blockieren. Sie tun dies unabhängig davon, wer sonst IP-Adressen in derselben Nachbarschaft verwendet. Wenn Sie von einer dieser beiden Listen (UCE und SORBS) und nicht von anderen Blocklisten blockiert werden, haben Sie oder Ihr Hosting-Provider ein schwerwiegendes Netzwerkmissbrauchsproblem.

Implementieren Sie alle folgenden Best Practices für die E-Mail-Cybersicherheit

Während die obigen Schritte der schnellste Weg sind, um wieder auf Kurs zu kommen, sind die folgenden soliden Cybersicherheitspraktiken, die Sie benötigen, um die E-Mails Ihrer Benutzer und Ihren E-Mail-Server effektiv zu schützen und Spam und Phish zu reduzieren. Wenn Sie E-Mails als Dienst bereitstellen (wie ein ISP, ein Hosting-Anbieter, ein E-Mail-Anbieter für Unternehmen, ein CRM-Anbieter und ein E-Mail-Marketing-Dienstanbieter) und diese Schritte heute nicht ausführen, gefährden Sie Ihr Unternehmen.

Blockieren Sie Spam, bevor er Ihr Netzwerk verlässt, und setzen Sie das Kennwort für die gesperrten Benutzerkonten zurück

Blockieren Sie E-Mails, die von Ihren Benutzern gesendet werden. Werfen Sie einen Blick auf den Artikel Inbound– und Outbound-Schutz – Was ist der Unterschied und wie man es richtig macht.
Im Ernst, senden Sie nicht nur schlechte Sachen. Sie verletzen Ihre Lieferung und Ihre Benutzer, indem Sie Ihr System nicht verwenden, um sie zu warnen und zu schützen. Benutzer, die einen kompromittierten Computer oder ein gehacktes Konto verwenden, möchten dies wissen.
Schlechte Schauspieler, die Müll schicken, müssen es auch wissen. Wenn Sie sie immer wieder bemerken, werden sie gegen Kaution gehen und zu einem anderen Anbieter gehen, bevor ihre Sachen rauskommen, was Ihnen nicht so wichtig ist wie Ihnen.

Wenn Sie als Unternehmen, Bildungseinrichtung, Hosting-Anbieter oder ISP ausgehende Spam-Filter hinzufügen, können Sie:

  • Blockieren Sie Verbindungen zu Ihrem Mailserver von Remotebenutzern, die infizierte Computer verwenden.
  • Blockieren Sie in Ihren Filtern Nachrichten mit identifizierten Spam-Domänen oder Zero-Reputation-Domänen, die häufig mit Phish in Verbindung gebracht werden, sowie Kurz- oder Online-Speicher-URLs (blockieren Sie nicht die Domänen, sondern nur die URLs), die mit Spam in Verbindung gebracht wurden.

Sie bewahren sich davor, blockiert zu werden, indem Sie diesen kompromittierten Systemen und Nachrichten, die mit Spam-E-Mails verknüpft sind, nicht erlauben, Ihren Mailserver zu übertragen.
Führen Sie für jeden Benutzer, den Sie blockieren, sofort ein Zurücksetzen des Kennworts durch und benachrichtigen Sie den Benutzer, indem Sie ihm mitteilen, warum seine E-Mails blockiert wurden. Wenn es sich um eine Verbindungs-IP-Adresse mit einem Problem handelt, sollten Sie den Benutzer darüber informieren, dass die Verbindungs-IP (Router oder Maschine) kompromittiert wurde. Wenn es sich um eine Nachricht handelt, die aufgrund von Inhalten blockiert ist, teilen Sie ihnen mit, warum Sie das Kennwort zurückgesetzt haben, nur für den Fall, dass ihr Konto kompromittiert wurde. Wahrheitsgemäß werden sie Ihnen dafür danken, dass Sie sich um ihre Sicherheit gekümmert haben.
Schließlich sind die Benutzer und schlechten Akteure, die wiederholte Kennwortrücksetzungen erhalten, einfach in Ihren Reset-Protokollen zu sehen. Auf diese Weise können Sie die Probleme erkennen und gemäß der Richtlinie, für die Sie sich entscheiden, beheben.

Verwalten Sie Ihre Postmasteradresse und setzen Sie das Kennwort für die Benutzerkonten zurück, die als NDRs zurückgegeben werden.

Suchen Sie nach NDRs, um Empfänger zu fälschen, die an Ihre Adresse zurückgegeben wurden. Dies zeigt die schändliche Verwendung Ihrer Domain in Ihrem Netzwerk. Weitere Informationen finden Sie im RFC5321- und Microsoft Exchange Server-Supportartikel.
Wenn eine Nachricht an die Postmasteradresse zurückgesandt wurde, teilen Sie dem Benutzer mit, warum Sie das Kennwort zurückgesetzt haben, nur für den Fall, dass sein Konto kompromittiert wurde. Wahrheitsgemäß werden sie Ihnen dafür danken, dass Sie sich um ihre Sicherheit gekümmert haben.
Schließlich sind die Benutzer und schlechten Akteure, die wiederholte Kennwortrücksetzungen erhalten, einfach in Ihren Reset-Protokollen zu sehen. Auf diese Weise können Sie die Probleme erkennen und gemäß der Richtlinie, für die Sie sich entscheiden, beheben.
Wenn Sie ein Hosting-Provider, ein ISP oder eine Universität sind, kann AbuseHQ von Abusix diese Berichte für Sie verwalten.

Überprüfen Sie die Authentizität Ihres Mailservers und stellen Sie eine Take-Down-Anforderung an das Netzwerk, in dem der nicht authentifizierte MTA gehostet wird

Stellen Sie sicher, dass Ihre Domain nicht blockiert wird, weil jemand anderes sie als Spoofing verwendet oder Sie keinen Man-in-the-Middle-Angriff haben. Eine Domain ohne SPF, die Ihre ausgehenden E-Mails nicht mit DKIM signiert, keine DMARC-DNS-TXT-Einträge ermöglicht es einem Cyberkriminellen, Ihre Identität zu fälschen und Ihre Domain zu blockieren.
Spoofing Ihrer CXX Führungskräfte oder Mitarbeiter E-Mail-Adressen, sowie ein Man-in-the-Middle-Angriff, ermöglicht es einem Cyberkriminellen, Nachrichten an Ihre Mitarbeiter zu senden oder Kundennachrichten zu ändern. Beide sind sehr gefährlich.
Sehen Sie sich Ihre SPF-, DKIM- und DMARC-DNS-TXT-Einträge an, um zu überprüfen, ob die Datensätze korrekt sind.
Fügen Sie Ihrem DMARC-Datensatz die folgenden Tags hinzu, um Berichte abzurufen:

  • “ rua=E-Mail-Adresse::“
    Dieses Tag teilt dem Empfänger mit, wohin tägliche Berichte für die Fehler gesendet werden sollen. Wenn Sie ein Hosting-Provider, ISP oder eine Universität sind und diese Adresse Ihre Adresse oder Ihr Alias für die Adresse ist,
  • „fo:“
    Mit diesem Tag können Postfachanbieter wissen, dass Sie Beispiele für fehlgeschlagene Nachrichten wünschen.
  • „1:“
    Dies ist eine wichtige Option, die unter fo hinzugefügt werden muss: Da dies dem Empfänger mitteilt, einen DMARC-Bericht zu senden, wenn ein Authentifizierungsmechanismus (SPF oder DKIM) fehlgeschlagen ist „pas.“.

Anmeldung für „Feedback Loops“ (FBLs) und Aktionsbenutzer mit einem hohen Verhältnis von Beschwerden / gesendeten E-Mails

Einige betrachten Feedback Loops als etwas, das Sie abonnieren, wenn Sie Marketing-E-Mails senden. Nein, Sir. Sie sind wertvoll für jeden, der einen Mailserver betreibt oder Hosting-, Hosting- und Internetkonnektivitätsdienste bereitstellt.
Wenn Sie ein Unternehmen sind, sollten Sie ein E-Mail-System, CRM oder E-Mail-Dienstanbieter verwenden, um die Abmeldungen zu verwalten. Wenn Sie Ihren Unternehmens-Mailserver für einen FBL-Dienst abonnieren, finden Sie den Spam der Abteilung oder des Mitarbeiters, der Ihr Problem verursacht. Sie werden auch die Mitarbeiter mit kompromittierten Systemen oder Konten sehen, die Spam senden, so dass Sie ein Passwort für ihre Konten zurücksetzen und sie über das Problem informieren können.

Zusammenfassend

Wenn Sie ein Problem mit der Zustellung haben, führen Sie die ersten beiden Schritte aus: Überwachen Sie Ihre ausgehenden E-Mail-Protokolle und überprüfen Sie die Spam-Blocklisten.

Längerfristige Implementierung solider Cybersicherheitstechniken:

  • Blockieren Sie Spam, bevor er Ihr Netzwerk verlässt, und überwachen Sie die ausgehenden Filterfehler.
  • Verwalten Sie Ihre Postmasteradresse.
  • Überprüfen Sie die Authentizität Ihrer Nachrichten und überwachen Sie die Fehler mithilfe von DMARC.
  • Melden Sie sich schließlich für „Feedback Loops“ (FBLs) an und überwachen Sie das Beschwerdevolumen des Benutzers.

Befolgen Sie diese Tipps zur Cybersicherheit, und Ihre Benutzer werden es Ihnen danken, dass Sie einen sicheren E-Mail-Vorgang ausführen.
Wenn Sie einen Shared Messaging-Dienst als ISP, Hosting-Dienst, SaaS oder Social-Networking-Anbieter betreiben, sprechen Sie mit uns über unsere Sperrlisten Abusix Mail Intelligence und AbuseHQ – die erste SaaS-Missbrauchsmanagement-Plattform. Durch design, wir machen ihre eingehende, ausgehende mail-server, und netzwerk missbrauch weit mehr überschaubar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.