Resolución de problemas y pautas para problemas con el spam

¿Qué es el spam?

Un correo electrónico masivo es aquel que se envía en lotes y donde cada mensaje es igual.  Un correo electrónico comercial es aquel que trata sobre un producto comercial o servicio. El correo electrónico no solicitado que se envía sin permiso o sin una solicitud para hacerlo, que es tanto masivo como comercial se conoce como spam o correo no deseado.

Correo masivo no solicitado (UBE, Unsolicited Bulk Email) + Correo Electrónico Comercial no Solicitado = SPAM

Aunque el correo masivo que también es comercial por lo general no es spam, existe una excepción a la regla si el correo es solicitado.  En Canadá, enviar correo electrónico comercial sin permiso es ilegal, incluso si el correo no es masivo.  Consulte las pautas relacionadas con este tema en fightspam.gc.ca para obtener más información en caso de que actúe en nombre de una empresa canadiense.

 

Fuentes de spam

Los administradores de los servidores tienen la responsabilidad de controlar que su infraestructura no se esté usando para enviar spam.  Hay varias fuentes comunes de spam (correo electrónico no deseado o de otro tipo) en Internet directamente relacionadas con la administración de un servidor.

Botnets: algunos tipos de malware que infectan una computadora hacen que esta forme parte de una "botnet".  El bot (o zombie) es administrado con control remoto por una persona malintencionada. Algunos ejemplos de botnets que han causado ataques de spam masivos en todo el mundo son los botnets Rustock y Cutwail, entre otros.

Relés abiertos: un servidor mal configurado puede enviar correos electrónicos en nombre de otros sin verificar que esa persona está autorizada para usar el servidor para enviar correo.

Servidores o cuentas comprometidas: los spammers a veces escanean redes enteras para encontrar servicios de correo y luego prueban miles de nombres de usuario y contraseñas hasta que encuentran cuentas con contraseñas débiles que se pueden usar para enviar spam.  Los sistemas que también ofrecen correo web son especialmente vulnerables porque si el spammer decide enviar el correo basura mediante la interfaz del correo web, este puede ocultar totalmente su dirección IP y hacer que sea más difícil localizar la fuente.

Reenvío masivo de correo electrónico no deseado (backscatter): la mayor parte del correo no deseado se envía desde una o más direcciones falsificadas, y si el correo electrónico no deseado rebota porque no se puede entregar, el informe de no entrega se envía de vuelta a la dirección falsificada.  Los sistemas de no entrega mal configurados en los servidores de correo pueden enviar el correo de vuelta a las fuentes falsificadas, pero si la fuente falsificada de un mensaje es una dirección de correo electrónico de una persona real, entonces, el mensaje de correo electrónico que había rebotado llegará a la persona real.  A veces, esto es una manera intencional de enviar spam, dado que los sistemas antispam no bloquean este tipo de spam demasiado bien.  La desventaja es que los mensajes parecen mensajes de no entrega, pero el destinatario puede leerlos.

Redes inseguras: un spammer puede encontrarse físicamente en un lugar en el que puede acceder a una red inalámbrica no segura o un puerto de datos con conectividad a Internet y enviar un diluvio de mensajes de spam desde esa red utilizando su propio equipo.  Podrían salir físicamente de la zona y luego volver una y otra vez, para seguir enviando spam de esta forma.  Una variante de este método es permitir que el spam se envíe a través de una VPN desde un equipo remoto, donde el proveedor de VPN no hace un seguimiento de cuál usuario está usando una dirección IP privada en la red privada en un momento en particular.  Esto dificulta (o hace imposible) descubrir quién es el usuario responsable.

Publicistas por correo electrónico: no todos los mensajes de correo electrónico enviados por publicistas son spam.   Hay algunas empresas de marketing legítimas que envían correos masivos usando buenas prácticas empresariales que no solo siguen las leyes aplicables, sino que también cumplen con prácticas apropiadas de gestión de listas de distribución de correo.  Algunos publicistas por correo electrónico creen erróneamente que están administrando sus listas de distribución de correo de forma apropiada.  Es posible que el destinatario se olvide que en realidad dio su permiso para recibir correos electrónicos con publicidad y marque los mensajes como correo no deseado.  El publicista tiene la obligación de controlar que sus listas de distribución de correo se gestionen correctamente y que tiene permiso explícito para enviar correo electrónico originalmente, quitar los suscriptores cuyo correo rebota y cancelar la suscripción de usuarios de forma rápida y permanente cuando estos lo soliciten.  Nunca compre una lista de distribución de correo de un tercero, aunque diga que se basa en subscripciones simples, dobles o tripes (lo que sea que esto signifique).

Mensajería instantánea: la mensajería instantánea está considerada un canal de confianza para enviar mensajes y puede ser una forma muy efectiva de enviar spam para los spammers.  Mucha gente suele comunicarse a través de la mensajería instantánea con personas que nunca han conocido cuando se trata de hacer negocios. Los spammers que usan la mensajería instantánea normalmente tratan de producir muchos mensajes tan rápido como sea posible, hasta que los proveedores involucrados los bloqueen.

 

Marketing electrónico y listas de distribución de correo administradas correctamente

Gestionar una lista de distribución de correo correctamente y aumentar su valor comercial y, a la vez, asegurar el menor desperdicio posible de recursos durante la entrega se trata puramente de una cuestión de permisos.  Una lista de correo administrada correctamente se crea usando el método de consentimiento de subscripción (COI, Confirmed Opt In).  Cuando se agrega un suscriptor nuevo, el proceso obtiene el permiso del suscriptor utilizando la dirección de correo electrónico proporcionada, como un enlace para confirmar la suscripción.  

El proceso COI funciona de la siguiente manera:

  • El suscriptor proporciona su dirección de correo electrónico en un formulario o en un pedido para un producto o servicio
  • El sistema de lista de distribución de correo registra la dirección de este nuevo suscriptor y le envía un correo electrónico que contiene un enlace especial que marca esa dirección como habilitada para enviar correo en el futuro
  • El suscriptor recibe el mensaje de correo electrónico y hace clic en el enlace
  • La dirección del suscriptor se marca como dispuesta a recibir correos electrónicos sobre los productos y los servicios para los que está suscrito

La falta de obtención del permiso directamente por el usuario para recibir correos electrónicos es la diferencia entre el marketing electrónico y el correo electrónico no deseado. 

Obtenga más información sobre este proceso y sus ventajas en la página web de Spamhaus.

 

Sugerencias para la resolución

  1. Identifique el MTA (Exim, Postfix nativo o Plesk Postfix, qmail, Mailenable, etc.)
  2. Identifique la fuente del spam al revisar los registros del MTA y el contenido de la cola de correo.  En algunos casos poco frecuentes, el spam puede enviarse a través de otro componente (como un proxy no autorizado o rootkit/puerta trasera en un servidor comprometido, o una cuenta VPN comprometida) y el MTA no mostrará evidencia del spam en los registros.
  3. Detenga la causa de la actividad de spam al solucionar el problema del origen del spam: 
    1. En cuanto a cuentas de correo electrónico o de usuarios comprometidas: cambie la contraseña de la cuenta
    2. En cuanto a sitios web comprometidos explotados para cometer una actividad de spam, consulte nuestro procedimiento titulado Resolución de problemas y pautas para direcciones URL maliciosas.
    3. En caso de una configuración incorrecta que cause actividad de spam, se debe cambiar la configuración.
  4. Limpie el spam restante de la cola de correo.
  5. Quite las direcciones IP de las listas negras
  6. Evite un problema similar al proteger y asegurar los sitios web, cuentas o servidores

 

Encuentre la fuente del spam

 

Cómo identificar fuentes de spam en Linux

  1. Analice los encabezados
    1. Analice uno o más reclamos sobre spam y vea los encabezados de un mensaje de spam de verdad
    2. Mire las direcciones IP utilizadas en cada una de las líneas del encabezado en "Recibido:".  Se enumeran en orden cronológico inverso.  Si la dirección IP de su servidor no es el encabezado "Recibido:" más antiguo (el último), entonces, probablemente alguien está pasando correo a través de su servidor de correo con un nombre de usuario/contraseña.
    3. Observe cualquiera de los encabezados "X-" (como X-Spam) en caso de que incluyan alguna información que su servidor podría haber agregado mientras se envió el correo, como el usuario autenticado o un dominio web.
    4. Verifique la cabecera "De" en caso de que sea una dirección real válida en el servidor, ya que esto podría indicar que el correo electrónico fue enviado a través de una aplicación de correo web.
  2. Verifique su cola de correo
    1. Algunos correos se envían mediante un proceso "directo al MX", es decir, no usa el MTA (agente de transferencia de correo) de su servidor.  Para el correo que sí usa el MTA, el correo se registrará y habrá spam en cola para salir en la cola de correo del MTA.
  3. LINUX: Compruebe la presencia de procesos que se están ejecutando con la utilidad "lsof" que tienen conexiones saliendo al puerto 25 o el puerto 587 en otras máquinas
    1. lsof -Pni tcp:25
    2. lsof -Pni tcp:587
    3. Anote cualquier Id. de proceso (PID), así como el nombre del usuario que posee el proceso donde el "comando" sea sospechoso y la dirección IP de destino no sea la suya.  Busque conexiones de salida del servidor.
    4. No necesariamente ignore procesos que tienen nombres como smtpd o sendmail, porque el spammer podría haberles dado intencionalmente nombres comunes para que sean difíciles de identificar como spam.  Asegúrese de investigarlos, pero tenga cuidado antes de matar esos procesos.
    5. Aunque es poco frecuente, esto podría mostrar una conexión activa con el puerto tcp 25 o el puerto tcp 287, en la que el spammer envía correo a través de su servicio SMTP con una cuenta de usuario legítima, pero comprometida.  
  4. Inspeccione los detalles de procesos sospechosos con "lsof":
    1. lsof -Pnp <PID>
    2. Preste especial atención a todas las líneas con "cwd" (directorio de trabajo actual) o "txt" en la columna FD.  Estas pueden contener pistas sobre dónde se encuentran los scripts responsables.
    3. Le recomendamos matar el proceso una vez que lo encuentra, antes o después de investigar cualquier archivo relacionado con el proceso más profundamente, pero tenga cuidado de no detener procesos legítimos de correo que envían correos electrónicos reales.

Otra información relacionada

Qué dice la Legislación Antispam de Canadá (CASL)

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk