Из-за большой базы контактов и активной работы с рассылками аккаунты в сервисах рассылок нередко становятся целью злоумышленников. В 90% случаев учетные записи оказываются скомпрометированы из-за:
1. Ошибок в разработке (например, размещение открытых API-ключей прямо в коде сайта).
2. Взлома самой инфраструктуры клиента (утечка базы данных, исходного кода или ключей).
3. Действий сотрудников — преднамеренных (бывших или текущих) или случайных (неосторожное обращение с данными).
Каждый из этих сценариев может привести к рассылке спама с вашего домена, блокировке аккаунта и репутационным потерям. Чтобы избежать подобных ситуаций, используйте базовые, но эффективные механизмы защиты.
Субаккаунты с ограниченными правами
Используйте не один аккаунт, а создайте отдельные субаккаунты для сотрудников или подрядчиков:
не передавайте главный пароль от основного аккаунта.
давайте минимальные права (только те функции, которые действительно нужны). Например, маркетологу нужен доступ только к созданию и запуску кампаний, но не к API и настройкам домена.
Двухфакторная аутентификация (2FA)
Обязательно включите 2FA как на основном аккаунте, так и на всех субаккаунтах. Это может быть:
SMS-код (для пользователей, ранее подключивших этот способ);
приложение-аутентификатор (Яндекс. Ключ, Google Authenticator и т.п.);
Даже если пароль будет скомпрометирован, без второго шага злоумышленник не сможет войти в аккаунт.
Ограничение доступа по IP
Настройте доступ так, чтобы API и личный кабинет (ЛК) были доступны только с доверенных IP-адресов, например, офисной сети или VPN. Таким образом, любые попытки входа с чужого компьютера будут блокироваться.
Регулярная ротация паролей и ключей
Рекомендуем ежемесячно менять пароли от аккаунтов, API-ключи и SMTP-реквизиты как на основном аккаунте, так и на субаккаунтах.
Помимо такой регулярной смены, важно обновлять реквизиты после:
увольнения сотрудников;
изменения подрядчиков;
любых подозрительных активностей на аккаунте.
Реквизиты обновляются автоматически при смене пароля. Сделать это можно на странице входа в личные кабинет:
Дополнительные меры
Используйте менеджер паролей (Kaspersky Password Manager, Passwork, TeamDo и пр.) для безопасного хранения.
Не отправляйте пароли и ключи в мессенджерах, лучше использовать для этого корпоративную почту
Проводите аудит прав субаккаунтов раз в квартал.
Соблюдение этих правил значительно снижает риски взлома. Большинство инцидентов, которые мы видим, происходят там, где пренебрегают хотя бы одним из пунктов. Используйте все перечисленные механизмы защиты комплексно, чтобы ваш аккаунт был максимально защищен.