Security

發送電子郵件活動後從 Microsoft Exchange Online Protection IP 範圍獲得大量 Web 流量,我該如何緩解?

  • February 8, 2019

在行銷團隊開始電子郵件活動後,我們的 Web 伺服器收到來自Microsoft 的 EOP IP 範圍的奇怪請求。回顧日誌,這總是發生,儘管我們發送的電子郵件數量要少得多,所以我們沒有註意到。然而,這最後一次,它讓我們的 Web 伺服器癱瘓了。

EOP 伺服器都請求完全相同的生成 URL:

https:// {corp 域} /ZW1haWwtdW

那條路從未存在過,我真的不知道他們在尋找什麼。我搜尋的所有內容都指向 Microsoft EOP 服務的討論或促銷,而不是從伺服器角度來看的實際工作。

有誰知道他們在尋找什麼?我們應該如何回應請求?我可以閱讀任何文件嗎?

該公司希望成為一個好的網路“公民”,並容納任何有助於增強對我們的電子郵件行銷的“信任”的東西,因此減少流量不是一種選擇。想法?

只要您將帶有連結的大量單個電子郵件發送回您在本地執行的伺服器,就沒有真正的方法可以防止這種行為。任何自尊的郵件網關都會掃描郵件中包含的所有 URL 並查看返回的內容,無論是惡意的還是其他的。您可以忽略 UCE 中的連結,或者在其他地方託管您的內容(或至少與大眾行銷電子郵件相關的內容)。

有誰知道他們在尋找什麼?我們應該如何回應請求?我可以閱讀任何文件嗎?

至於“ZW1haWwtdW”的網址,誰也說不准。任何缺少來自 Microsoft、Proofpoint(我相信他們是 EOP/ATP 的幕後人員)和其他郵件網關/安全供應商的直接響應都將是一個有根據的猜測。這些服務的供應商通常(並且理所當然地)對他們在檢查連結時使用的確切做法以及執行每個步驟的原因守口如瓶。簡而言之,您不會從 Microsoft 獲得一本關於如何正確響應其 EOP 發起的掃描的手冊。

可以假設這是對特定威脅的檢查或對訪問(假定的)錯誤 URL 時發生的情況進行分析。也就是說,該網站是否返回 404(這是人們所期望的),或者它是否重定向到可能值得懷疑的通用登錄頁面。但是,使用相同的模式似乎有點奇怪,您會認為一段時間後,不良行為者會抓住這一點,並可以修改站點行為以解決此問題。

該公司希望成為一個好的網路“公民”,並容納任何有助於增強對我們的電子郵件行銷的“信任”的東西,因此減少流量不是一種選擇。

為此,我建議利用良好的第三方郵件服務 - 並為這些活動使用您正常域的子域。從您的生產電子郵件基礎架構執行行銷活動是最終進入某些黑名單、中斷您的正常郵件流量的好方法,而且(實際上)可能無法為您提供從第三方看到的那種對活動有效性的洞察力——派對。

想法?

如果某些與郵件相關的掃描正在顛覆您的網路伺服器,可以公平地說這對您的客戶來說不是一個很好的體驗(如果他們選擇查看您的內容),所以這也可能不會給他們留下好印象(最重要的是他們剛剛收到一封不請自來的電子郵件的事實)。

我建議使用第三方行銷服務來處理您的批量商業電子郵件。我還建議查看某種彈性網路託管服務來處理您的網路流量(或至少與您通過行銷電子郵件提供的內容相關的網路流量)。這些都是比較常見的做法。

引用自:https://serverfault.com/questions/952797