Evitar que los usuarios abusen de la función de correo electrónico de la aplicación web

Navega tus respuestas
3

Nuestra aplicación web ofrece a los usuarios la opción de enviar de forma masiva un montón de información interesante a varias direcciones de correo electrónico a la vez. Es bastante fácil registrar una cuenta con el servicio y, por lo tanto, es bastante fácil comenzar a enviar correo basura a las personas con un correo electrónico que nunca quisieron recibir. No puede realmente cambiar el contenido del correo electrónico, pero puede enviarlo a cualquier conjunto de direcciones.

Tengo entendido que si alguien decide controlar el servicio y comenzar a enviar correo basura a personas aleatorias en Internet desde allí, el dominio de la compañía podría quedar excluido de los principales proveedores de correo electrónico y casi nunca nos comunicamos con usuarios legítimos. otra vez a través del correo electrónico.

Un par de preguntas:

  • ¿Lo anterior es el peor escenario o hay aspectos que no estoy considerando?
  • ¿Cuáles son algunas prácticas de prevención y mitigación comunes y asequibles (en términos de ingeniería) que los servicios utilizan para hacer frente a lo anterior? Me imagino que limitar la cantidad de correos electrónicos que una cuenta puede enviar por día es una opción. También requiere que la cuenta muestre alguna actividad legítima antes de que pueda enviar un correo electrónico es otro enfoque válido. ¿Algo más importante que me esté perdiendo?

Todos los demás consejos son muy apreciados.

    
pregunta glitch 10.09.2014 - 03:11
fuente

1 respuesta

3

Hay algunas cosas que puede intentar para ayudar a evitar que los actores malintencionados abusen de su servicio:

  1. Requerir un CAPTCHA: Esto debería ayudar a reducir los bots que abusan de sus servicios.
  2. Limite el uso de esta función mediante la dirección IP & Tiempo: No permita que una sola IP envíe una gran cantidad de correo en un corto período de tiempo (tenga en cuenta que puede tener varios usuarios detrás de NAT).

  3. Considere la posibilidad de limitar la dirección "de" a las direcciones de correo electrónico verificadas: puede hacer que cada usuario se registre y verifique cada dirección de correo electrónico en la que quiera que aparezca en el campo ". " Limite la cantidad de direcciones de correo electrónico que un usuario puede registrar para este propósito.

    Sin embargo, estos pasos no son infalibles. Un atacante con varias direcciones IP (una botnet, por ejemplo), un software de OCR muy bueno (o un servicio de desconexión de CAPTCHA humano) y direcciones de correo electrónico desechables todavía pueden solucionar esto.

También es posible que incluso sin una red de bots, un solo atacante con una lista de direcciones de correo electrónico de honeypot pueda aún pueda obtenerlo en algunas listas negras (no conozco los umbrales para el varios servicios de lista negra).

También debes asegurarte de tener un enlace de cancelación de suscripción en todos los correos electrónicos enviados por este servicio, de modo que las personas que no quieran recibir correos electrónicos de tu servicio puedan evitar que lleguen.

    
respondido por el lzam 10.09.2014 - 03:47
fuente

Lea otras preguntas en las etiquetas

Contraseñas de un solo uso con teléfonos móviles [cerrado] Bloquear el inicio de sesión de un sitio web en una computadora determinada