Come verificare se il server invia spam
Imprese, università e fornitori di servizi (come; ISP, fornitori di servizi di posta elettronica di marketing, servizi applicativi, SaaS, fornitori di hosting) devono preoccuparsi se i loro sistemi inviano spam. C’è un problema ancora peggiore; la piattaforma di posta del provider potrebbe essere stata infiltrata dai criminali informatici, consentendo loro di sfruttare la piattaforma per inviare spam e phishing o violare le comunicazioni degli utenti. Violazioni come questa, rendono anche più facile per il criminale informatico di muoversi lateralmente sulla rete e altre porzioni della rete e le operazioni di business.
Questo articolo ti guiderà attraverso le migliori pratiche di sicurezza per verificare se il tuo server sta inviando spam. Quindi ci siamo.
Controlla prima i log del tuo server di posta, poi guarda le liste di blocco in secondo luogo
Monitora i log della posta in uscita
I due indicatori di sicurezza informatica più significativi di un server che invia spam per un amministratore di posta sono l’aumento dei rimbalzi o delle NDR (rapporti di mancata consegna) o Entrambi si verificano quando gli indirizzi IP o i domini sono in lista di blocco per un server compromesso, la macchina dell’utente o un account Web. Pertanto, dovresti monitorare regolarmente il log var Linux del tuo server di posta elettronica o il Gestore di sistema del tuo server Exchange se vuoi sapere se il tuo server exchange sta inviando spam che i blocklist hanno identificato.
Le cose che dovresti cercare includono:
- I registri che mostrano tassi crescenti di NDR sono in genere causati da una o più liste di blocco che bloccano il tuo indirizzo IP o dominio.
- L’aumento delle code di posta elettronica in uscita a causa di differimenti di consegna è simile alla condizione sopra riportata. Inoltre, potresti ricevere un avviso dal tuo server di posta. Microsoft Exchange, ad esempio, invia un avviso “SMTP Server Remote Queue Length”.”
Entrambi questi sono indicatori di un problema più significativo e come verificare se il mio server di posta sta inviando spam. La migliore pratica è mettere immediatamente in pausa il flusso di posta in uscita per trovare e risolvere il problema, in modo che altri server di posta non rifiutino la tua e-mail e consentano alle tariffe di consegna e posta in arrivo di tornare alla normalità.
Controlla le liste di blocco spam
Successivamente, è necessario verificare la presenza di elenchi di blocchi.
- Seleziona MX Tool Box o Multi RBL per vedere se un altro blocklist ti sta bloccando. Supponiamo che si riveli limitato a Protect Protect o ad alcuni blocklist hobbisti, bloccando la tua gamma. In tal caso, il problema è probabilmente “basato sulla reputazione” e un problema che si è sviluppato nel tempo, non un problema di configurazione (relè aperto), server di posta elettronica compromesso o account di posta elettronica compromessi.
Ma attenzione, non tutte le blocklist agiscono allo stesso modo. Se non vedi Abusix o Spamhaus bloccare il traffico, potrebbe essere uno dei pochi blocklist come UCE protect e SORB che bloccherà punitivamente un intervallo di rete o anche un intero ASN per un provider di hosting o ASN. Lo fanno, indipendentemente da chi altro potrebbe utilizzare gli indirizzi IP nello stesso quartiere. Se vieni bloccato da una di queste due liste (UCE e SORB) e non da altre liste di blocco, tu o il tuo provider di hosting avete un grave problema di abuso di rete.
Implementa tutte le seguenti best practice di mail cyber security
Mentre i passaggi precedenti sono il modo più rapido per tornare in pista, i seguenti sono solide pratiche di sicurezza informatica, è necessario proteggere efficacemente la posta elettronica dell’utente e il server di posta e ridurre spam e phish. Se fornisci mail as a service (come un ISP, un provider di hosting, un provider di posta elettronica aziendale, un CRM e un provider di servizi di email marketing) e non stai adottando questi passaggi oggi, stai mettendo a repentaglio la tua attività.
Blocca lo spam prima che lasci la rete e reimposta la password degli account utente bloccati
Blocca le e-mail inviate dagli utenti, in modo simile a quello che faresti con le e-mail in entrata, ma utilizzando un diverso set di regole. Date un’occhiata all’articolo Protezione in entrata e in uscita – Qual è la differenza e come farlo bene.
Seriamente, non inviare solo cose cattive. Stai danneggiando la tua consegna e i tuoi utenti non usando il tuo sistema per avvisarli e proteggerli. Gli utenti che utilizzano un computer compromesso o un account violato vogliono sapere.
I cattivi attori che inviano spazzatura, devono sapere anche loro. Se continui a notarli, si libereranno e andranno da un altro fornitore prima che la loro roba esca, il che non si preoccupa tanto quanto te.
In qualità di impresa, istituto scolastico, provider di hosting o ISP, se si aggiunge il filtraggio dello spam in uscita, si sarà in grado di:
- Bloccare le connessioni al server di posta da utenti remoti che utilizzano macchine infette.
- Nei filtri, blocca i messaggi utilizzando domini di spam identificati o domini di reputazione zero comunemente associati al phish, nonché URL di archiviazione brevi o online (non bloccare i domini, solo gli URL) che sono stati associati allo spam.
Ti salvi dal blocco non permettendo a questi sistemi compromessi e messaggi associati alle e-mail di spam di transitare sul tuo server di posta.
Per qualsiasi utente bloccato, eseguire immediatamente una reimpostazione della password e avvisare l’utente, dicendo loro perché la posta è stata bloccata. Se si tratta di un indirizzo IP di connessione con un problema, è necessario informare l’utente che l’IP di connessione (router o macchina) è stato compromesso. Se si tratta di un messaggio che è bloccato a causa del contenuto, dire loro che è il motivo per cui hai fatto la reimpostazione della password, nel caso in cui il loro account è stato compromesso. Sinceramente, ti ringrazieranno per aver cura della loro sicurezza.
Infine, gli utenti e i cattivi attori che ottengono le reimpostazioni delle password ripetute sono semplici da vedere nei registri di ripristino. Questo ti aiuta a vedere i problemi e ad affrontarli in base alla politica che decidi di utilizzare.
Gestisci il tuo indirizzo postmaster e reimposta la password degli account utente restituiti come NDR.
Cerca le NDR a destinatari falsi restituiti al tuo indirizzo. Questo mostra l’uso nefasto del tuo dominio sulla tua rete. Vedere RFC5321 e l’articolo di supporto di Microsoft Exchange Server per ulteriori informazioni.
Se un messaggio è stato restituito all’indirizzo del postmaster, dire all’utente perché hai fatto la reimpostazione della password, nel caso in cui il loro account è stato compromesso. Sinceramente, ti ringrazieranno per aver cura della loro sicurezza.
Infine, gli utenti e i cattivi attori che ottengono le reimpostazioni delle password ripetute sono semplici da vedere nei registri di ripristino. Questo ti aiuta a vedere i problemi e ad affrontarli in base alla politica che decidi di utilizzare.
Se sei un provider di hosting, un ISP o un’Università, AbuseHQ di Abusix può gestire questi rapporti per te.
Verifica l’autenticità del tuo server di posta ed effettua una richiesta di take-down alla rete che ospita l’MTA non autentico
Assicurati di non bloccare il tuo dominio perché qualcun altro lo sta usando spoofing o non hai un attacco man-in-the-middle. Un dominio senza SPF, non firmando la tua email in uscita con DKIM, nessun record DNS TXT DMARC consente a un criminale informatico di falsificare la tua identità e causare il blocco del tuo dominio.
Spoofing vostri dirigenti CXX o indirizzi e-mail dei dipendenti, così come un attacco man-in-the-middle, permette un criminale informatico per inviare messaggi ai vostri dipendenti o modificare i messaggi dei clienti. Entrambi sono molto pericolosi.
Guarda i tuoi record DNS TXT SPF, DKIM e DMARC per verificare e verificare se i record sono accurati.
Al record DMARC, aggiungi i seguenti tag per ottenere report:
- “rua = mailto::”
Questo tag indica al destinatario dove inviare report giornalieri per i guasti. Se sei un provider di hosting, un ISP o un’Università e questo indirizzo è il tuo indirizzo o alias dell’indirizzo, - “fo:”
Questo tag consente ai provider di cassette postali di sapere che desideri campioni di messaggi che non riescono. - “1:”
Questa è un’opzione essenziale da aggiungere sotto fo: poiché indica al destinatario di inviare un report DMARC se un meccanismo di autenticazione (SPF o DKIM) non è riuscito “pas.”.
Registrati per “Feedback Loops” (FBLS) e gli utenti di azione con un elevato rapporto reclami/e-mail inviate
Alcuni pensano di feedback loops come qualcosa a cui ti iscrivi se stai inviando e-mail di marketing. No, signore. Sono preziosi per chiunque esegua un server di posta o fornisca campus, hosting, servizi di connettività Internet.
Se sei un’azienda, dovresti utilizzare un sistema di posta, un CRM o un provider di servizi di posta elettronica per gestire le cancellazioni. Se sottoscrivi il tuo server di posta aziendale a un servizio FBL, troverai lo spam del dipartimento canaglia o dei dipendenti che causa il tuo problema. Vedrai anche i dipendenti con sistemi o account compromessi che inviano spam in modo da poter eseguire una reimpostazione della password sui loro account e notificarli del problema.
In sintesi
Se hai un problema con la consegna, segui i primi due passaggi: Monitora i log della posta in uscita e controlla le liste di blocco spam.
A lungo termine, implementare solide tecniche di sicurezza informatica:
- Blocca lo spam prima che lasci la rete e monitora gli errori di filtraggio in uscita.
- Gestisci il tuo indirizzo postmaster.
- Verifica l’autenticità dei tuoi messaggi e monitora gli errori usando DMARC.
- Infine, registrati per” Feedback Loops ” (FBLS) e monitora i volumi dei reclami da parte dell’utente.
Segui questi suggerimenti sulla sicurezza informatica e i tuoi utenti ti ringrazieranno per aver eseguito un’operazione di posta sicura.
Se si esegue un servizio di messaggistica condivisa come ISP, Servizio di hosting, SaaS, o provider di social networking, parlare con noi circa i nostri blocklist Abusix Mail Intelligence e AbuseHQ – la prima piattaforma di gestione degli abusi SaaS. In base alla progettazione, rendiamo il tuo server di posta in entrata, in uscita e l’abuso di rete molto più gestibile.