InícioServiços de E-mail / Painel de e-mails do admin

O que significam os incidentes de segurança exibidos no Painel E-mails?

Obs.: Caso não saiba como acessar o painel de administração de e-mails, favor ler: https://suporte.lucanet.com.br/kb/painel-de-e-mails-do-admin/como-acesso-o-painel-de-administracao-de-e-mails-do-administrador-e-altero-senha-do-mesmo


Antes de mais nada, vale ressaltar que é possível tornar o acesso à sua conta mais segura usando dupla autenticação ou senhas de aplicações. Detalhes no seguinte tutorial: https://suporte.lucanet.com.br/kb/painel-do-usuario/como-habilitar-a-dupla-autenticacao-2fa-em-uma-conta-de-e-mail

No painel de administração de e-mails, logo na tela inicial, temos um aviso do sistema, quando uma conta está sendo acessada a partir de tantos IPs diferentes.

É importante analisar estes casos, pois podem ser referentes a contas que tiveram suas senhas descobertas e estão sendo abusadas, normalmente através do protocolo SMTP, para envio de spam. É importante analisar essas situações e mudar a senha dessas contas, conforme detalhes abaixo.

Veja a tela inicial do painel de administração de e-mails de um cliente.

O padrão, é alertar caso uma conta esteja sendo acessada de mais de um endereço IP diferente, nas últimas 24h. Este valor de até quantos IPs diferentes para gerar alertas, é configurável, como veremos mais adiante.

Este alerta, no caso de uma conta estar sendo acessada de mais de tantos IPs, é extremamente útil para detectar o abuso de conta, ou seja, quando alguém descobre uma senha ou, por meio de vírus, consegue obtê-la para fazer spam através dela. Imagine, o sistema detecta que sua conta está enviando através de um endereço IP no Brasil e outro, em outro país. Sua conta pode estar sendo usada para enviar spam, mas pode também ser um falso positivo, de repente, você a utiliza dentro de algum ambiente no exterior, além de usá-la no país em que reside.

Ao clicar no local indicado com a seta, na tela acima, em "clique aqui para verificar a página de Segurança", será levado até a opção "Segurança/Incidentes de Segurança", exibida abaixo, que detalha os usuários potencialmente comprometidos.

Clicando em um dos usuários potencialmente comprometidos, temos um detalhamento dos últimos acessos da conta, equivalente a se clicar em "Logs/Últimos acessos", ao final do menu de opções e fazer uma busca pelos acessos realizados pela conta respectiva.

Veja como consta:

Podemos ver os endereços IP a partir dos quais a conta foi usada para envio a partir de IPs de 2 países diferentes, Brasil e Chile. Note que, neste caso, trata-se do protocolo IMAP, baixando e-mails.

Verifique com cada cliente respectivo, se eles realmente estão acessando seus e-mails de outro país.

Cuidado com algumas situações que podem levar a crer ser um abuso, mas não necessariamente seja. O usuário pode estar acessando de um servidor no exterior ou em trânsito.

Importante: Atenção à indicação de país Netherlands (Holanda), com IP no range 185.30.*.*. Como pode ser comprovado em https://www.iplocation.net, trata-se de IP da My.com, do popular aplicativo de empresa russa para celulares denominado myMail, que salva sua senha e baixa os seus e-mails a partir de seus servidores, considerando um risco de segurança. Sugerimos instruir usuários a configurarem suas contas diretamente em seus aplicativos, conforme tutoriais contidos em nosso site. Maiores detalhes sobre riscos de segurança do myMail em: https://en.wikipedia.org/wiki/MyMail

Usuários mais experientes podem validar o endereço IP detectado em https://whois.registro.br, no caso de IP nacional e https://who.is, no caso de IP internacional internacional, bem como usar comando de traceroute e acessar o site https://www.iplocation.net, para confirmar a localização.

Caso seja um IP reconhecido, você pode clicar no botão "Marcar como seguro", para que não seja mais alertado.

Caso o serviço usado indique "SMTP" (envio de e-mails), pode verificar que envios foram feitos pelo IP. Use os logs, em "Logs/Logs de saída" e faça uma busca, escolhendo o domínio respectivo, em "Visualizar Mensagens" escolha "Todas as mensagens" e, no campo "De", aloque o email do usuário, bem como escolha última semana ou último mês.

Configuração do recurso

A configuração do limite de locais para login, fica aqui em "Configurações/Filtragem".

Limite de 1 significa que, acima de 1 local, o administrador é avisado, com um alerta no Painel E-mails.

Veja onde fica essa configuração, nas setas indicadoras: