Jak sprawdzić, czy serwer wysyła Spam
przedsiębiorstwa, uniwersytety i dostawcy usług (tacy jak dostawcy usług internetowych, marketingowi dostawcy usług e-mail, usługi aplikacyjne, SaaS, dostawcy hostingu) muszą się martwić, jeśli ich systemy wysyłają spam. Istnieje jeszcze gorszy problem; Platforma pocztowa dostawcy mogła zostać zinfiltrowana przez cyberprzestępców, umożliwiając im wykorzystanie platformy do wysyłania spamu i phishingu lub naruszania komunikacji z użytkownikami. Takie naruszenia ułatwiają również cyberprzestępcom poruszanie się po twojej sieci i innych częściach Twojej sieci i operacji biznesowych.
Ten artykuł przeprowadzi Cię przez najlepsze praktyki bezpieczeństwa, aby sprawdzić, czy twój serwer wysyła spam. Zaczynamy.
najpierw sprawdź dzienniki serwera pocztowego, a następnie spójrz na listy bloków po drugie
Monitoruj dzienniki poczty wychodzącej
dwoma najważniejszymi wskaźnikami bezpieczeństwa cybernetycznego serwera wysyłającego spam dla administratora poczty są zwiększone odbicia lub NDRs (raporty o braku dostawy) lub wydłużenie kolejek poczty wychodzącej serwerów. Oba występują, gdy adresy IP lub domeny są blokowane dla zagrożonego serwera, komputera użytkownika lub konta internetowego. W związku z tym należy regularnie monitorować dziennik var Linux serwera poczty e-mail lub Menedżera systemu serwera Exchange, jeśli chcesz sprawdzić, czy serwer exchange wysyła spam zidentyfikowany na listach blokowych.
to czego powinieneś szukać to:
- dzienniki pokazujące rosnące wskaźniki NDR są zazwyczaj spowodowane przez jedną lub więcej list blokujących blokujących adres IP lub domenę.
- zwiększenie kolejek wychodzących wiadomości e-mail z powodu odroczenia dostawy jest podobne do powyższego warunku. Dodatkowo możesz otrzymać alert z serwera pocztowego. Na przykład Microsoft Exchange wysyła Alert ” SMTP Server Remote Queue Length Alert.”
oba te wskaźniki są bardziej znaczącym problemem i jak sprawdzić, czy mój serwer pocztowy wysyła spam. Najlepszą praktyką jest natychmiastowe wstrzymanie przepływu poczty wychodzącej w celu znalezienia i rozwiązania problemu, aby Inne Serwery Pocztowe nie odrzucały Twojej poczty e-mail i pozwoliły, aby stawki za dostawę i skrzynkę odbiorczą wróciły do normy.
Sprawdź listy bloków ze spamem
następnie musisz sprawdzić listę bloków.
- Sprawdź MX Tool Box lub Multi RBL, aby sprawdzić, czy inna lista bloków Cię blokuje. Załóżmy, że okazuje się być ograniczony do ochrony UCE lub kilku hobbystycznych list blokujących, blokujących twój zasięg. W takim przypadku problem jest prawdopodobnie „oparty na reputacji” i problem, który został zbudowany w czasie, a nie problem z konfiguracją (przekaźnik otwarty), zhakowany serwer poczty e-mail lub zhakowane konta e-mail.
ale pamiętaj, nie każda lista blokowa działa tak samo. Jeśli nie widzisz, że Abusix lub Spamhaus blokują ruch, może to być jedna z niewielu list blokujących, takich jak UCE protect i SORBS, która w sposób karygodny zablokuje zasięg sieci lub nawet cały ASN dla dostawcy hostingu lub ASN. Robią to, niezależnie od tego, kto jeszcze może używać adresów IP w tej samej okolicy. Jeśli zostaniesz zablokowany przez jedną z tych dwóch list (UCE i Sorb), a nie przez inne listy blocklist, ty lub twój dostawca hostingu masz poważny problem z nadużyciem sieci.
zaimplementuj wszystkie następujące najlepsze praktyki cyberbezpieczeństwa poczty
chociaż powyższe kroki są najszybszym sposobem na powrót na właściwe tory, poniżej przedstawiono solidne praktyki bezpieczeństwa cybernetycznego, musisz skutecznie zabezpieczyć e-mail użytkownika i serwer pocztowy oraz obniżyć spam i phish. Jeśli dostarczasz pocztę jako usługę (taką jak dostawca usług internetowych, dostawca usług hostingowych, biznesowy dostawca poczty e-mail, CRM i dostawca usług marketingu e-mail) i nie podejmujesz dziś tych kroków, narażasz swoją firmę na niebezpieczeństwo.
Blokuj spam przed opuszczeniem sieci i Resetuj hasło zablokowane konta użytkowników
blokuj wiadomości e-mail wysyłane przez użytkowników, podobnie jak w przypadku poczty przychodzącej, ale przy użyciu innego zestawu reguł. Spójrz na artykuł Ochrona przychodząca i wychodząca-jaka jest różnica i jak to zrobić dobrze.
poważnie, nie wysyłaj złych rzeczy. Ranisz swoją dostawę i użytkowników, nie używając systemu do ostrzegania ich i ochrony. Użytkownicy korzystający z uszkodzonego komputera lub zhakowanego konta chcą wiedzieć.
Kiepscy aktorzy wysyłają śmieci, też muszą wiedzieć. Jeśli będziesz je zauważał, uciekną i pójdą do innego dostawcy, zanim ich rzeczy się wydostaną, co nie obchodzi tak bardzo, jak ty.
jako przedsiębiorstwo, instytucja edukacyjna, dostawca hostingu lub dostawca usług internetowych, jeśli dodasz filtrowanie spamu wychodzącego, będziesz mógł:
- Blokuj połączenia z serwerem pocztowym od zdalnych użytkowników korzystających z zainfekowanych maszyn.
- w filtrach blokuj wiadomości przy użyciu domen ze zidentyfikowanym spamem lub domen o zerowej reputacji Zwykle powiązanych z phishem, a także krótkich lub internetowych adresów URL (nie blokuj domen, tylko adresy URL), które zostały powiązane ze spamem.
chronisz się przed zablokowaniem, nie pozwalając tym zagrożonym systemom i wiadomościom powiązanym ze spamem na przesyłanie twojego serwera pocztowego.
dla każdego zablokowanego użytkownika, natychmiast wykonaj reset hasła i Powiadom użytkownika, informując go, dlaczego jego poczta została zablokowana. Jeśli jest to podłączony adres IP z problemem, należy poinformować użytkownika, że podłączony adres IP (router lub maszyna) został naruszony. Jeśli jest to wiadomość zablokowana z powodu treści, powiedz im, że to dlatego zresetowałeś hasło, na wypadek, gdyby ich konto zostało naruszone. Szczerze mówiąc, podziękują ci za troskę o ich bezpieczeństwo.
wreszcie, użytkownicy i źli aktorzy, którzy resetują Powtórz hasło, są łatwo widoczne w dziennikach resetowania. Pomaga to dostrzec problemy i rozwiązać je zgodnie z Polityką, z której zdecydujesz się skorzystać.
Zarządzaj swoim adresem poczmistrza i zresetuj hasło kont użytkowników, które są zwracane jako NDR.
poszukaj NDR do fałszywych odbiorców zwróconych na twój adres. Pokazuje to nikczemne korzystanie z domeny w sieci. Więcej informacji można znaleźć w artykule pomocy technicznej RFC5321 i Exchange Server firmy Microsoft.
jeśli wiadomość została zwrócona na adres poczty, powiedz użytkownikowi, dlaczego zresetowałeś hasło, na wypadek, gdyby jego konto zostało naruszone. Szczerze mówiąc, podziękują ci za troskę o ich bezpieczeństwo.
wreszcie, użytkownicy i źli aktorzy, którzy resetują Powtórz hasło, są łatwo widoczne w dziennikach resetowania. Pomaga to dostrzec problemy i rozwiązać je zgodnie z Polityką, z której zdecydujesz się skorzystać.
jeśli jesteś dostawcą usług hostingowych, dostawcą usług internetowych lub Uniwersytetem, AbuseHQ firmy Abusix może zarządzać tymi raportami za Ciebie.
zweryfikuj autentyczność swojego serwera pocztowego i wyślij żądanie usunięcia do sieci hostującej nieautentyczny MTA
upewnij się, że nie blokujesz domeny, ponieważ ktoś inny Cię używa lub nie masz ataku man-in-the-middle. Domena bez SPF, bez podpisywania wychodzącej wiadomości e-mail z DKIM, brak rekordów DMARC DNS txt pozwala cyberprzestępcy sfałszować twoją tożsamość i spowodować zablokowanie Twojej domeny.
fałszowanie adresów e-mail menedżerów CXX lub pracowników, a także atak typu man-in-the-middle, pozwala cyberprzestępcy wysyłać wiadomości do pracowników lub modyfikować wiadomości klientów. Oba są bardzo niebezpieczne.
spójrz na swoje rekordy SPF, DKIM i DMARC DNS TXT, aby sprawdzić i sprawdzić, czy rekordy są dokładne.
do rekordu DMARC dodaj następujące tagi, aby uzyskać raporty:
- „rua = mailto::”
ten znacznik informuje odbiorcę, gdzie ma wysyłać codzienne raporty o awariach. Jeśli jesteś dostawcą usług hostingowych, dostawcą usług internetowych lub uniwersytetem, a ten adres jest Twoim adresem lub aliasem do adresu, - „fo:”
ten znacznik pozwala dostawcom skrzynek pocztowych wiedzieć, że chcesz próbki wiadomości, które nie powiodły się. - „1:”
jest to niezbędna opcja do dodania pod fo: ponieważ mówi to odbiornikowi, aby wysłał raport DMARC, jeśli jakikolwiek mechanizm uwierzytelniania (SPF lub DKIM) nie powiódł się „pas.”.
Zarejestruj się dla” pętli opinii ” (FBLs) i użytkowników akcji o wysokim współczynniku reklamacji/wysłanych wiadomości e-mail
niektórzy uważają pętle opinii za coś, co subskrybujesz, jeśli wysyłasz e-maile marketingowe. Nie, proszę pana. Są cenne dla każdego, kto prowadzi serwer pocztowy lub zapewnia kampus, hosting, usługi łączności z Internetem.
jeśli jesteś przedsiębiorstwem, powinieneś używać systemu pocztowego, CRM lub dostawcy usług e-mail do zarządzania anulowaniem subskrypcji. Jeśli subskrybujesz firmowy serwer pocztowy do usługi FBL, znajdziesz dział nieuczciwych lub spam pracowników powodujący twój problem. Zobaczysz również pracowników z zagrożonymi systemami lub kontami wysyłającymi spam, dzięki czemu możesz zresetować hasło na swoich kontach i powiadomić ich o problemie.
w podsumowaniu
jeśli masz problem z dostawą, wykonaj dwa pierwsze kroki: Monitoruj dzienniki poczty wychodzącej i sprawdzaj listy blokujące spam.
długoterminowe wdrażanie solidnych technik bezpieczeństwa cybernetycznego:
- Blokuj spam przed opuszczeniem sieci i monitoruj awarie filtrowania wychodzącego.
- Zarządzaj swoim adresem poczmistrza.
- sprawdź autentyczność wiadomości i monitoruj awarie za pomocą DMARC.
- na koniec zapisz się do” pętli zwrotnych ” (Fbls) i monitoruj ilość reklamacji przez użytkownika.
postępuj zgodnie z tymi wskazówkami dotyczącymi bezpieczeństwa cybernetycznego, a użytkownicy podziękują ci za uruchomienie bezpiecznej operacji poczty.
Jeśli korzystasz z usługi współdzielonej wiadomości jako dostawca usług internetowych, hostingowych, SaaS lub sieci społecznościowych, porozmawiaj z nami o naszych listach bloków Abusix Mail Intelligence i AbuseHQ-pierwszej Platformie Zarządzania nadużyciami SaaS. Dzięki projektowi znacznie ułatwiamy zarządzanie przychodzącymi, wychodzącymi serwerami pocztowymi i nadużyciami sieciowymi.