Como um Ataque de SPAM me Custou 4500 Dólares

Desenvolver um SaaS nunca é um caminho tranquilo. Há um tempo desenvolvi a JSX Mail, e isso me fez lutar com um grande problema ao expandir nossos serviços de e-mails transacionais para incluir funcionalidades de e-mail marketing. Parecia um passo natural para o crescimento do SaaS, mas acabou levando a uma das maiores provações da minha carteira.

Após uma semana intensa de desenvolvimento, lancei a nova funcionalidade de envio em massa. Preocupado com possíveis abusos, implementei uma salvaguarda inicial: exigi um link de descadastro para cada campanha, garantindo que os destinatários pudessem facilmente sair de listas de contatos indesejados.

Tudo parecia correr bem nos primeiros dias. Mas então, notei algo estranho: um novo usuário com uma taxa de e-mails inválidos extremamente alta. O que inicialmente parecia um simples problema de qualidade de lista, rapidamente se revelou algo muito mais sério.

O usuário começou a criar múltiplas contas segundos após a outra. Meu plano gratuito oferece 10 mil e-mails grátis por conta, e ele estava systematicamente explorando essa limitação. Cada vez que eu bloqueava uma conta, ele criava outra:

• Primeiro, bloqueei as contas iniciais
• Depois, implementei bloqueio por dispositivo
• Em seguida, adicionei bloqueio por fingerprint
• Até restringi contas de IPs associados a VPNs

Nada parecia detê-lo.

Durante essa intensa batalha contra o invasor, algo surpreendente aconteceu. O usuário, frustrado com os bloqueios consecutivos, entrou em contato com o suporte. Esperava, talvez, reverter os bloqueios ou argumentar contra eles. No entanto, a conversa tomou um rumo inesperado.

Confrontei-o diretamente, explicando que já havia identificado suas tentativas de burlar o sistema. Foi então que a verdade veio à tona: ele admitiu estar usando nosso serviço para realizar phishing. O objetivo era simples e criminoso - enviar e-mails se passando por empresas legítimas, com o intuito de enganar pessoas e roubar seus dados de cartão de crédito.

Para o meu bolso a situação atingiu seu ápice quando descobri que meu serviço havia sido banido pela AWS SES. Não só estávamos proibidos de enviar e-mails, como também tinha acumulado uma dívida de quase $4.000 em envios não autorizados.

Para piorar, tive que:

• Assinar o suporte premium da AWS: + $100
• Lidar com reembolsos de clientes afetados
• Deixar o sistema fora do ar por aproximadamente 24 horas

Desenvolvi então um sistema de detecção inteligente que:

• Monitora automaticamente taxas de spam
• Bloqueia instantaneamente contas suspeitas
• Impede criações sucessivas de novas contas maliciosas

Diferente de muitas empresas que tentariam esconder tal situação, esse post é para fazer o contrário. Pois desde a primeira linha de código eu decidi ser 100% transparente sobre cada coisa que se passa na JSX Mail, uma das coisas que ajudam isso é que o código de tudo é totalmente open-source.

Se você achou legal um serviço de e-mail confiável, transparente e extremamente acessível?

👉 Conheça o JSX Mail Cloud Agora!

E sim, o sistema já está no ar novamente, todos os emails de clientes que tinham sido travados já foram enviados e o criminoso já foi totalmente banido!