Итак, в третий раз примерно за две недели (может быть, меньше) у одного из наших клиентов был взломан пароль, и спамер отправлял почту со своим именем пользователя и паролем, используя нашу веб-почту. В результате наш сервер исходящей почты был внесен в список Spamhaus, и большая часть нашей исходящей почты отклоняется.
Я не могу придумать способ предотвратить это (хотя теперь наш веб-почтовый сервер использует Sendmail вместо SMTP, но это только ограничивает масштаб проблемы), но у крупных интернет-провайдеров, похоже, никогда не было такой проблемы.
Наша система защиты от спама может сканировать наши исходящий mail-stream именно для такого рода проблем. У нас более 20 000 студентов, поэтому использование веб-почты для рассылки спама из нашей системы - проблема, с которой мы столкнулись до того, как переместили их всех в WindowsLive @ Edu. У нас была та же проблема, что и у вас: репутация наших исходящих почтовых отправителей портилась. Как только мы передали почтовую систему на аутсорсинг и отказались от SquirrelMail, проблема исчезла.
Гигиена электронной почты - это улица с двусторонним движением теперь, когда порталы веб-почты распространены повсеместно. Вам необходимо сканировать исходящий поток так же тщательно, как и входящий поток. Вам действительно нужно обращать внимание на обнаружение спама в исходящем потоке, потому что они могут указывать на такие проблемы, как жертвы фишинга.
Для решения этой проблемы нам не пришлось привлекать сторонних ресурсов, это был самый дешевый способ справиться с 20 тысячами пользователей. Есть готовые продукты, которые сделают это, просто они стоят за место, как и все остальное.
У меня вопрос: откуда идет спам, который проходит через интерфейс вашей веб-почты?
Вы разрешаете клиенту отправлять электронную почту через интерфейс веб-почты только в том случае, если они не находятся внутри одного из ваших сетевых блоков?
Вы фиксируете, кто может или не может ретранслировать?
А какая у вас политика паролей? Вы разрешаете простые пароли, которые легко взломать? Шифрование при передаче данных?
Вы ограничиваете объем почты, которая может быть отправлена от конкретного пользователя? Большинство пользователей не отправляют электронную почту в объемах, составляющих пропорции спама, без сигнала тревоги.
Вы уверены, что они используют вашу электронную почту? Веб-почта - это веб-интерфейс, используемый для отправки электронных писем, мы согласны с этим?
Я советую вам как можно скорее удалить свою веб-почту, потому что кто-то, скорее всего, использует какую-то уязвимость в вашем программном обеспечении веб-почты. Обновите его и снова включите. Если рассылка спама продолжается, попробуйте узнать, какой пользователь отправляет электронную почту, и отключите его учетную запись.
Убедитесь, что кто-то не вставил вредоносную веб-страницу, рассылающую электронную почту. У меня была именно такая ситуация 2 недели назад. Если да, удалите его как можно скорее и серьезно пересмотрите возможность переустановки сервера.
Кроме того, является ли веб-сервер локальным для веб-почты? Если да, то вы уверены, что не являетесь открытым реле? Есть тесты, которые позволяют это проверить.
Крупные интернет-провайдеры разрешают только IP-адреса своих клиентов отправлять электронную почту через свои почтовые серверы. Если вы не являетесь интернет-провайдером, вы хотите заставить своих клиентов проходить аутентификацию (см. SASL-аутентификация для Sendmail) или разрешить определенный IP-адрес, который, как вы знаете, подходит.
Есть несколько способов решить эту проблему.
Прежде всего убедитесь, что вы обязательный иметь сервер ретрансляции исходящей почты. В наши дни кажется, что правильный протокол - заставить пользователей использовать сервер исходящей электронной почты своего интернет-провайдера для отправки любых сообщений. Некоторые интернет-провайдеры даже блокируют исходящие соединения через порт 25 именно по этой причине.
В вашей ситуации похоже, что часть веб-почты была взломана. У вас должна быть аутентификация по паролю включен, но он у вас тоже есть. Так что ты можешь сделать?
Я бы порекомендовал такой программный пакет, как CSF / LFD (Настройка безопасности сервера и брандмауэра/ Демон сбоя входа в систему). Это программное обеспечение просматривает ваши журналы и отмечает достижение порогового значения. На серверах, которые я запускаю, он настроен на то, чтобы предупреждать меня, если за более чем 5 минут отправлено более 100 сообщений. Это относительно безопасное число, на которое можно положиться. Если спамер хочет обойти этот предел, он может это сделать, но существует множество других серверов с более слабыми протоколами.
Поймав несколько учетных записей, которые делают это (они платили клиентам), я удалил TOS и его пункт о борьбе со спамом и удалил их. В вашем случае он просто предупредил бы вас, что их учетная запись рассылает спам, а затем вы могли бы заставить их изменить свой пароль. И, чтобы вы знали, оправдание "мой пароль был скомпрометирован" является одним из Причины # 1 спамеры дадут вам попробовать продолжить пользоваться вашими услугами! Убедитесь, что вы дважды проверили, что ваш клиент является законным.
Остальные правы. Если вы собираетесь привлечь клиентов, использующих ваш сервер для отправки электронных писем, очень важно сканировать исходящие сообщения так же, как входящие, чтобы убедиться, что они законны. Штрафы за внесение вашего сервера в черный список слишком велики.
Просто: мы сканируем как входящую, так и исходящую электронную почту с одним и тем же набором правил защиты от спама и вирусов, без исключений. Мы делаем это, чтобы защитить наших клиентов и поставщиков по той же причине, по которой вы в настоящее время занесены в черный список рассылки спама, - потому что это превращает вашу электронную почту в ответственность бизнеса, если что-то пойдет не так.
Как был взломан пароль?
Какая политика паролей?
Какого провайдера веб-почты вы используете?
Использует ли веб-сайт веб-почты SSL?
Можете ли вы фильтровать исходящую почту, если это возможно, вы можете установить фильтр для очевидного исходящего спама?