Prevenire gli utenti che abusano della funzionalità di posta elettronica dell'applicazione web

Naviga le tue risposte
3

La nostra applicazione web offre agli utenti la possibilità di inviare in massa e-mail una serie di informazioni interessanti a più indirizzi e-mail contemporaneamente. È abbastanza facile registrare un account con il servizio e quindi è abbastanza facile iniziare a inviare spam alle persone con e-mail che non hanno mai voluto ricevere. Non puoi effettivamente modificare il contenuto dell'email, ma puoi inviarlo a qualsiasi insieme di indirizzi.

La mia comprensione è che se qualcuno decide di trollare il servizio e iniziare a spammare persone casuali su Internet da esso, il dominio della società potrebbe essere bandito dai principali provider di posta elettronica e non ci sarà quasi mai alcun supporto per utenti legittimi di nuovo tramite e-mail.

Un paio di domande:

  • Il precedente è lo scenario peggiore o ci sono aspetti che non sto prendendo in considerazione?
  • Quali sono alcune pratiche di prevenzione e mitigazione comuni e accessibili (dal punto di vista ingegneristico) che i servizi utilizzano per trattare quanto sopra? Immagino che limitare il numero di email che un account può inviare al giorno sia un'opzione. Richiedere inoltre che l'account mostri alcune attività legittime prima che possa inviare e-mail è un altro approccio valido. Qualcos'altro di maggiore mi manca?

Tutti gli altri suggerimenti sono molto apprezzati.

    
posta glitch 10.09.2014 - 03:11
fonte

1 risposta

3

Ci sono alcune cose che puoi provare a impedire agli attori malintenzionati di abusare del tuo servizio:

  1. Richiedi un CAPTCHA: questo dovrebbe aiutare a ridurre i bot che abusano dei tuoi servizi.
  2. Limita l'utilizzo di questa funzione per indirizzo IP e amp; tempo: non lasciare che un singolo IP invii grandi quantità di posta in un breve periodo di tempo (tieni presente che potresti avere più utenti dietro NAT).

  3. Considera di limitare l'indirizzo "da" agli indirizzi email verificati: puoi consentire a ciascun utente di registrare e verificare ogni indirizzo email che desidera visualizzare nel campo "da". " Limita il numero di indirizzi email che un utente può registrare per questo scopo.

    Tuttavia questi passaggi non sono infallibili. Un utente malintenzionato con più IP (ad esempio una botnet), un ottimo software OCR (o un servizio di interruzione CAPTCHA umano) e gli indirizzi e-mail usa e getta possono ancora aggirare questo problema.

È anche possibile che anche senza una botnet, un singolo utente malintenzionato con un elenco di indirizzi email honeypot possa essere ancora in grado di ottenere su alcune blacklist (non conosco le soglie per vari servizi di lista nera).

Dovresti anche essere sicuro di avere un link optout (disiscriversi) su tutte le email inviate da questo servizio, così le persone che non vogliono ricevere email dal tuo servizio possono impedire loro di arrivare.

    
risposta data 10.09.2014 - 03:47
fonte

Leggi altre domande sui tag

Differenze di design di code e whonix relative alla virtualizzazione Le richieste dispari per health_check.js vengono visualizzate in Fiddler