¿Cómo puedo reducir el daño de las cuentas de correo robadas?

Actualmente estoy ofreciendo alojamiento web a algunas agencias de publicidad para sus clientes premium. Pero actualmente tengo un gran problema con el servicio de correo electrónico. En la última semana, las cuentas de correo electrónico de aproximadamente 7 compañías fueron robadas y se utilizaron para enviar spam usando mi servidor de correo.

Bueno, pude deshabilitar las cuentas, porque el remitente estaba infringiendo las políticas de proporción de mi servidor y había muchos correos en la cola de correo. Bueno, se entregaron alrededor de 40 correos. Pero fue suficiente para aparecer en la lista negra e incluso un usuario escribió un correo personal sobre el abuso del centro de datos.

Actualmente no tengo idea de lo que puedo hacer para evitar el envío de spam desde una cuenta de correo robada. Envío todos los correos salientes a través de SA y AV, pero no es suficiente. Antes de que la cuenta de usuario no alcance la proporción de 40 correos al día o no inunde la cola de mensajes, no puedo detectar el ataque.

¿Cómo puedo detectar estos problemas antes?

Espero ver otras respuestas a esta pregunta, pero tengo la sensación de que si estás contactando cuentas de correo comprometidas después de que solo hayan pasado 40 spam, lo estás haciendo realmente bien. No estoy seguro de poder detectar un abuso similar tan rápido, y la perspectiva me preocupa.

Pero me horroriza que solo se robaron siete conjuntos de credenciales la semana pasada.

Por lo tanto, me parece que una mejora adicional no estará en el final de " detección y eliminación anormal de correo ", sino en el departamento de " minimizar el robo de credenciales ".

¿Sabes cómo estos clientes perdieron el control de sus credenciales? Si puede ver un patrón común, comenzaría mitigando eso. Si no puede, existen soluciones tanto técnicas como no técnicas para ayudar a minimizar la pérdida de credenciales.

En el frente técnico, requerir autenticación de dos factores hace que los tokens sean mucho más difíciles de robar, y hace que dicho robo sea mucho más fácil de detectar. SMTP AUTH no se presta bien a la autenticación de dos factores, pero podría envolver el canal SMTP en una VPN que sí se presta; Me viene a la mente OpenVPN, pero está lejos de ser único en ese sentido.

En el frente no técnico, el problema aquí es que la pérdida de credenciales no es un dolor de cabeza para aquellos que se supone que deben cuidarlos. Podría considerar cambiar su AUP para que (a) las personas sean claramente responsables de las cosas que se hacen con sus credenciales, y (b) usted cobra un cargo significativo por cada parte de correo inapropiado enviado con un conjunto de credenciales. Esto simultáneamente le reembolsa el tiempo que pasa lidiando con la pérdida de credenciales, y hace que sus clientes sepan que deben cuidar estas credenciales y las de su banca en línea, ya que la pérdida de ambas les costará dinero real.

Hemos mitigado el mismo problema al utilizar un proveedor externo como nuestro portal de correo electrónico (en nuestro caso, Exchange Online Protection pero hay muchos otros servicios comparables). Luego configuramos todos nuestros servicios de envío de correo electrónico para usarlo como el más inteligente.

Ahora, todos nuestros mensajes salientes están asociados con la reputación de la puerta de enlace de correo electrónico externo. Debido a eso, estos servicios hacen un trabajo impresionante al detectar actividades sospechosas de correo electrónico saliente y alertarlo de inmediato.

Normalmente soy un gran defensor de desarrollar nuestras soluciones internamente, pero el correo electrónico es una de esas cosas en las que el retorno de la inversión realmente vale la pena.