Comment vérifier si Votre Serveur envoie du Spam
Les entreprises, les universités et les fournisseurs de services (comme les FAI, les fournisseurs de services de messagerie marketing, les services d’application, le SaaS, les fournisseurs d’hébergement) doivent être préoccupés si leurs systèmes envoient du spam. Il y a un problème encore pire; la plate-forme de messagerie du fournisseur peut avoir été infiltrée par des cybercriminels, ce qui leur permet de tirer parti de la plate-forme pour envoyer du spam et du phishing ou violer les communications des utilisateurs. De telles violations permettent également au cybercriminel de se déplacer plus facilement latéralement sur votre réseau et sur d’autres parties de votre réseau et des opérations commerciales.
Cet article vous guidera à travers les meilleures pratiques de sécurité pour vérifier si votre serveur envoie du spam. Alors voilà.
Vérifiez d’abord les journaux de votre serveur de messagerie, puis consultez les listes de blocage ensuite
Surveillez vos journaux de courrier sortant
Les deux indicateurs de cybersécurité les plus importants d’un serveur envoyant du spam à un administrateur de messagerie sont l’augmentation des rebonds ou des NDR (Rapports de non-livraison) ou l’allongement des files d’attente de courrier sortant de vos serveurs. Les deux se produisent lorsque les adresses IP ou les domaines sont bloqués pour un serveur compromis, la machine de l’utilisateur ou un compte Web. Ainsi, vous devez surveiller régulièrement le journal var Linux de votre serveur de messagerie ou le gestionnaire système de votre serveur Exchange si vous souhaitez savoir si votre serveur exchange envoie du spam identifié par les listes de blocage.
Les choses que vous devriez rechercher incluent:
- Les journaux montrant des taux croissants de NDR sont généralement causés par une ou plusieurs listes de blocage bloquant votre adresse IP ou votre domaine.
- L’augmentation des files d’attente d’e-mails sortants en raison de reports de livraison est similaire à la condition ci-dessus. De plus, vous pouvez recevoir une alerte de votre serveur de messagerie. Microsoft Exchange, par exemple, envoie une » Alerte de longueur de file d’attente distante du serveur SMTP. »
Ces deux indicateurs sont des indicateurs d’un problème plus important et comment vérifier si mon serveur de messagerie envoie du spam. La meilleure pratique consiste à suspendre immédiatement votre flux de courrier sortant pour trouver et résoudre le problème, afin que les autres serveurs de messagerie ne rejettent pas votre courrier électronique et permettent à vos taux de livraison et de boîte de réception de revenir à la normale.
Vérifiez les listes de blocage de spam
Ensuite, vous devez vérifier les listes de blocage.
- Cochez la boîte à outils MX ou Multi RBL pour voir si une autre liste de blocs vous bloque. Supposons qu’il se limite à UCE Protect ou à quelques listes de blocage d’amateurs, bloquant votre plage. Dans ce cas, votre problème est probablement « basé sur la réputation » et un problème qui s’est construit au fil du temps, pas un problème de configuration (relais ouvert), un serveur de messagerie piraté ou des comptes de messagerie piratés.
Mais attention, toutes les listes de blocage n’agissent pas de la même manière. Si vous ne voyez pas Abusix ou Spamhaus bloquer le trafic, il peut s’agir de l’une des rares listes de blocage comme UCE protect et SORBS qui bloqueront punitivement une plage réseau ou même un ASN entier pour un fournisseur d’hébergement ou un ASN. Ils le font, indépendamment de qui d’autre pourrait utiliser des adresses IP dans le même quartier. Si vous êtes bloqué par l’une de ces deux listes (UCE et SORBS) et non par d’autres listes de blocage, vous ou votre fournisseur d’hébergement rencontrez un grave problème d’abus de réseau.
Mettre en œuvre toutes les meilleures pratiques de cybersécurité du courrier suivantes
Bien que les étapes ci-dessus soient le moyen le plus rapide de se remettre sur la bonne voie, les suivantes sont des pratiques de cybersécurité solides, vous devez sécuriser efficacement le courrier électronique de votre utilisateur et votre serveur de messagerie et réduire le spam et le phishing. Si vous fournissez du courrier en tant que service (comme un fournisseur d’accès Internet, un fournisseur d’hébergement, un fournisseur de messagerie professionnelle, un CRM et un fournisseur de services de marketing par courrier électronique) et que vous ne prenez pas ces mesures aujourd’hui, vous mettez votre entreprise en danger.
Bloquez le spam avant qu’il ne quitte votre réseau et réinitialisez le mot de passe des comptes d’utilisateurs bloqués
Bloquez les e-mails envoyés par vos utilisateurs, comme vous le feriez avec les e-mails entrants, mais en utilisant un ensemble de règles différent. Jetez un œil à l’article Protection entrante et sortante – Quelle est la différence et comment bien faire les choses.
Sérieusement, ne vous contentez pas d’envoyer de mauvaises choses. Vous nuisez à votre livraison et à vos utilisateurs en n’utilisant pas votre système pour les alerter et les protéger. Les utilisateurs utilisant un ordinateur compromis ou un compte piraté veulent savoir.
Les mauvais acteurs qui envoient des ordures doivent aussi savoir. Si vous continuez à les remarquer, ils vont cautionner et aller chez un autre fournisseur avant que leurs affaires ne sortent, ce qui ne se soucie pas autant que vous.
En tant qu’entreprise, établissement d’enseignement, fournisseur d’hébergement ou FAI, si vous ajoutez un filtrage de spam sortant, vous pourrez ::
- Bloquez les connexions à votre serveur de messagerie des utilisateurs distants utilisant des machines infectées.
- Dans vos filtres, bloquez les messages en utilisant des domaines de spam identifiés ou des domaines à réputation nulle généralement associés au phishing, ainsi que des URL de stockage courtes ou en ligne (ne bloquez pas les domaines, uniquement les URL) qui ont été associés au spam.
Vous évitez d’être bloqué en ne permettant pas à ces systèmes compromis et aux messages associés aux pourriels de transiter par votre serveur de messagerie.
Pour tout utilisateur que vous bloquez, effectuez immédiatement une réinitialisation de mot de passe et informez l’utilisateur en lui expliquant pourquoi son courrier a été bloqué. S’il s’agit d’une adresse IP de connexion avec un problème, vous devez informer l’utilisateur que l’adresse IP de connexion (routeur ou machine) a été compromise. S’il s’agit d’un message bloqué à cause du contenu, dites-leur que c’est la raison pour laquelle vous avez réinitialisé le mot de passe, juste au cas où leur compte serait compromis. Sincèrement, ils vous remercieront de prendre soin de leur sécurité.
Enfin, les utilisateurs et les mauvais acteurs qui obtiennent des réinitialisations de mot de passe répétées sont simples à voir dans vos journaux de réinitialisation. Cela vous aide à voir les problèmes et à les résoudre en fonction de la politique que vous décidez d’utiliser.
Gérez votre adresse de maître de poste et réinitialisez le mot de passe des comptes d’utilisateurs renvoyés en tant que NDRS.
Recherchez des NDR à de faux destinataires renvoyés à votre adresse. Cela montre une utilisation néfaste de votre domaine sur votre réseau. Pour plus d’informations, reportez-vous à l’article RFC5321 et à l’article de support Exchange Server de Microsoft.
Si un message a été renvoyé à l’adresse du maître de poste, dites à l’utilisateur pourquoi vous avez réinitialisé le mot de passe, juste au cas où son compte serait compromis. Sincèrement, ils vous remercieront de prendre soin de leur sécurité.
Enfin, les utilisateurs et les mauvais acteurs qui obtiennent des réinitialisations de mot de passe répétées sont simples à voir dans vos journaux de réinitialisation. Cela vous aide à voir les problèmes et à les résoudre en fonction de la politique que vous décidez d’utiliser.
Si vous êtes un hébergeur, un FAI ou une Université, AbuseHQ d’Abusix peut gérer ces rapports pour vous.
Vérifiez l’authenticité de votre serveur de messagerie et faites une demande de retrait au réseau hébergeant le MTA non authentique
Assurez-vous que votre domaine n’est pas bloqué parce que quelqu’un d’autre l’utilise en vous usurpant, ou que vous n’avez pas d’attaque man-in-the-middle. Un domaine sans SPF, ne signant pas votre e-mail sortant avec DKIM, aucun enregistrement DNS TXT DMARC permet à un cybercriminel de falsifier votre identité et de bloquer votre domaine.
L’usurpation de vos adresses e-mail de cadres ou d’employés de CXX, ainsi qu’une attaque d’homme du milieu, permettent à un cybercriminel d’envoyer des messages à vos employés ou de modifier les messages des clients. Les deux sont très dangereux.
Examinez vos enregistrements TXT DNS SPF, DKIM et DMARC pour vérifier et voir si les enregistrements sont exacts.
À votre enregistrement DMARC, ajoutez les balises suivantes pour obtenir des rapports:
- » rua = mailto:: »
Cette balise indique au récepteur où envoyer des rapports quotidiens pour les pannes. Si vous êtes un fournisseur d’hébergement, un FAI ou une université et que cette adresse est votre adresse ou alias de l’adresse, - « fo: »
Cette balise permet aux fournisseurs de boîtes aux lettres de savoir que vous souhaitez des échantillons de messages qui échouent. - « 1: »
C’est une option essentielle à ajouter sous fo: car cela indique au récepteur d’envoyer un rapport DMARC si un mécanisme d’authentification (SPF ou DKIM) échoue « pas ». ».
Inscrivez-vous aux « boucles de commentaires » (FBL) et aux utilisateurs d’action avec un ratio élevé de plaintes / e-mails envoyés
Certains considèrent les boucles de commentaires comme un élément auquel vous vous abonnez si vous envoyez des e-mails marketing. Non monsieur. Ils sont précieux pour quiconque exploite un serveur de messagerie ou fournit des services de campus, d’hébergement et de connectivité Internet.
Si vous êtes une entreprise, vous devez utiliser un système de messagerie, un CRM ou un fournisseur de services de messagerie pour gérer les désabonnements. Si vous abonnez votre serveur de messagerie d’entreprise à un service FBL, vous constaterez que le service malveillant ou le spam des employés est à l’origine de votre problème. Vous verrez également les employés avec des systèmes ou des comptes compromis envoyer du spam afin que vous puissiez réinitialiser le mot de passe sur leurs comptes et les informer du problème.
En résumé
Si vous rencontrez un problème de livraison, suivez les deux premières étapes : Surveillez vos journaux de courrier sortant et vérifiez les listes de blocage des pourriels.
À plus long terme, mettre en œuvre des techniques de cybersécurité solides:
- Bloquez le spam avant qu’il ne quitte votre réseau et surveillez les échecs de filtrage sortant.
- Gérez votre adresse de maître de poste.
- Vérifiez l’authenticité de vos messages et surveillez les échecs à l’aide de DMARC.
- Enfin, inscrivez-vous aux « boucles de rétroaction » (FBL) et surveillez les volumes de plaintes de l’utilisateur.
Suivez ces conseils de cybersécurité et vos utilisateurs vous remercieront d’avoir géré une opération de messagerie sécurisée.
Si vous utilisez un service de messagerie partagée en tant que FAI, Service d’hébergement, SaaS ou fournisseur de réseaux sociaux, parlez–nous de nos listes de blocage Abusix Mail Intelligence et AbuseHQ – la première plate-forme de gestion des abus SaaS. Par conception, nous rendons votre serveur de messagerie entrant, sortant et les abus de réseau beaucoup plus faciles à gérer.