После того, как маркетинговая группа запускает рассылку по электронной почте, наш веб-сервер забивается странными запросами от Диапазон IP-адресов Microsoft EOP. Просматривая журналы, это происходило всегда, хотя количество писем, которые мы отправляли, было намного меньше, поэтому мы не заметили. Однако в этот последний раз наш веб-сервер оказался на коленях.
Все серверы EOP запросили один и тот же сгенерированный URL:
https: // {corp domain} / ZW1haWwtdW
Такого пути никогда не существовало, и я действительно не знаю, что они ищут. Все, что я искал, ведет к обсуждениям или продвижению служб Microsoft EOP, а не к фактической работе с серверной точки зрения.
Кто-нибудь знает, что они ищут? Как мы должны отвечать на запросы? Любую документацию, которую я могу прочитать?
Компания хочет быть хорошим сетевым «гражданином» и приспособиться ко всему, что помогает повысить «доверие» к нашему почтовому маркетингу, поэтому снижение трафика не вариант. Мысли?
Нет реального способа предотвратить такое поведение, если вы отправляете множество отдельных писем со ссылками на сервер, который вы запускаете в локальной среде. Любой уважающий себя почтовый шлюз будет сканировать все URL-адреса, содержащиеся в сообщениях, и проверять возвращаемое содержимое, вредоносное или иное. Вы можете либо опустить ссылки из своего UCE, либо разместить свой контент в другом месте (или, по крайней мере, контент, связанный с массовыми маркетинговыми электронными письмами).
Кто-нибудь знает, что они ищут? Как мы должны отвечать на запросы? Любую документацию, которую я могу прочитать?
Что касается URL-адреса "ZW1haWwtdW", это остается только догадываться. Все, кроме прямого ответа от Microsoft, Proofpoint (которые, как я полагаю, находятся за кулисами с EOP / ATP) и других поставщиков почтовых шлюзов / систем безопасности, будет обоснованным предположением. Поставщики этих услуг обычно (и по праву) не раскрывают свои конкретные методы, которые они используют при проверке ссылок, и почему выполняется каждый шаг. Проще говоря, вы не получите от Microsoft руководства о том, как правильно реагировать на их сканирование, инициированное EOP.
Можно предположить, что это проверка либо на конкретную угрозу, либо для анализа того, что происходит при посещении (предполагаемого) неправильного URL-адреса. То есть, возвращает ли этот веб-сайт 404 (чего и следовало ожидать) или перенаправляет на общую целевую страницу, которая может вызывать подозрения. Использование того же шаблона кажется немного странным, однако вы можете подумать, что через некоторое время злоумышленник поймает это и сможет изменить поведение сайта для решения этой проблемы.
Компания хочет быть хорошим сетевым «гражданином» и размещать все, что помогает повысить «доверие» к нашему почтовому маркетингу, поэтому снижение трафика недопустимо.
Для этого я бы посоветовал воспользоваться хорошей сторонней почтовой службой и использовать поддомен вашего обычного домена для этих кампаний. Проведение маркетинговых кампаний из вашей производственной инфраструктуры электронной почты - это хороший способ попасть в некоторые черные списки, прервать ваш обычный почтовый трафик и (на самом деле), вероятно, не даст вам такого понимания эффективности кампании, как вы могли видеть из третьего - партия.
Мысли?
Если какое-то сканирование, связанное с почтой, опрокидывает ваши веб-серверы, вероятно, будет справедливо сказать, что это не лучший опыт для ваших клиентов (если они решили проверить ваш контент), так что это, вероятно, не дает их тоже хорошее впечатление (вдобавок к тому факту, что они только что получили нежелательное письмо).
Я бы предложил использовать стороннюю маркетинговую службу для обработки ваших массовых коммерческих электронных писем. Я также предлагаю посмотреть на какой-то гибкий веб-хостинг для обработки вашего веб-трафика (или, по крайней мере, веб-трафика, связанного с контентом, который вы обслуживаете с помощью своей маркетинговой электронной почты). Это относительно распространенные практики.