InícioServiços de E-mail / Painel de e-mails do admin

O que significam os incidentes de segurança exibidos no Painel E-mails?

Obs.: Para ampliação de imagens deste tutorial, clique com o botão da direita em cima delas e escolha "Abrir imagem em nova guia/aba".


Antes de mais nada, vale garantir que sua conta esteja com o país correto definido, no campo "País de Residência", que deve indicar de onde você acessa seus emails. Veja no painel de administração, em Usuários (menu do lado esquerdo), editando sua conta (ícone de lápis). Ainda, além do campo "Pais de Residência", há um campo "Modo viagem", que você pode definir como sim, quando estiver viajando. Isso ajudará nosso sistema de detecção visando funcionamento e possíveis bloqueios mais adequados.

No Painel E-mails, logo na tela inicial, temos um aviso do sistema, quando uma conta está sendo acessada a partir de tantos IPs diferentes.

É importante analisar estes casos, pois podem ser referentes a contas que tiveram suas senhas descobertas e estão sendo abusadas, normalmente através do protocolo SMTP, para envio de spam. É importante analisar essas situações e mudar a senha dessas contas, conforme detalhes abaixo.

Veja a tela inicial do painel de administração de um cliente. Lembrando que o Super, pode personificar painéis de seus clientes, clicando na seta ao lado deles, em Usuários, no painel Super.

O padrão, é alertar caso uma conta esteja sendo acessada de mais de um endereço IP diferente, nas últimas 24h. Este valor de até quantos IPs diferentes para gerar alertas, é configurável, como veremos mais adiante.

Este alerta, no caso de uma conta estar sendo acessada de mais de tantos IPs, é extremamente útil para detectar o abuso de conta, ou seja, quando alguém descobre uma senha ou, por meio de vírus, consegue obtê-la para fazer spam através dela. Imagine, o sistema detecta que sua conta está enviando através de um endereço IP no Brasil e outro, em outro país. Sua conta pode estar sendo usada para enviar spam, mas pode também ser um falso positivo, de repente, você a utiliza dentro de algum ambiente no exterior, além de usá-la no país em que reside.

Ao clicar no local indicado com a seta, na tela acima, em "clique aqui para verificar a página de Segurança", será levado até a opção "Segurança/Incidentes de Segurança", exibida abaixo, que detalha os usuários potencialmente comprometidos.

Clicando em um dos usuários potencialmente comprometidos, temos um detalhamento dos últimos acessos da conta, equivalente a se clicar em "Logs/Últimos acessos", ao final do menu de opções e fazer uma busca pelos acessos realizados pela conta respectiva.

Veja como consta:

Podemos ver os endereços IP a partir dos quais a conta foi usada para envio a partir de IPs de 2 países diferentes, Brasil e Chile. Note que, neste caso, trata-se do protocolo IMAP, baixando e-mails.

Verifique com cada cliente respectivo, se eles realmente estão acessando seus e-mails de outro país.

Cuidado com algumas situações que podem levar a crer ser um abuso, mas não necessariamente seja. O usuário pode estar acessando de um servidor no exterior ou em trânsito.

Importante: Atenção à indicação de país Netherlands (Holanda), com IP no range 185.30.*.*. Como pode ser comprovado em https://www.iplocation.net, trata-se de IP da My.com, do popular aplicativo de empresa russa para celulares denominado myMail, que salva sua senha e baixa os seus e-mails a partir de seus servidores, considerando um risco de segurança. Sugerimos instruir usuários a configurarem suas contas diretamente em seus aplicativos, conforme tutoriais contidos em nosso site. Maiores detalhes sobre riscos de segurança do myMail em: https://en.wikipedia.org/wiki/MyMail

Usuários mais experientes podem validar o endereço IP detectado em https://whois.registro.br, no caso de IP nacional e https://www.whois.com, no caso de IP internacional internacional, bem como usar comando de traceroute e acessar o site https://www.iplocation.net, para confirmar a localização.

Caso seja um IP reconhecido, você pode clicar no botão "Marcar como seguro", para que não seja mais alertado.

Caso o serviço usado indique "SMTP" (envio de e-mails), pode verificar que envios foram feitos pelo IP. Use os logs, em "Logs/Logs de saída" e faça uma busca, escolhendo o domínio respectivo, em "Visualizar Mensagens" escolha "Todas as mensagens" e, no campo "De", aloque o email do usuário, bem como escolha última semana ou último mês.

Configuração do recurso

A configuração do limite de locais para login, fica aqui em "Configurações/Filtragem".

Limite de 1 significa que, acima de 1 local, o administrador é avisado, com um alerta no Painel E-mails.

Veja onde fica essa configuração, nas setas indicadoras: