Mail Delivery SPAM

Ricardo Utreras Estrella utreras en gmail.com
Jue Mayo 8 17:04:33 CLT 2008


Germán Póo-Caamaño escribió:
> On Thu, 2008-05-08 at 09:45 -0400, Ricardo Utreras Estrella wrote:
>> Germán Póo-Caamaño escribió:
>>> On Wed, 2008-05-07 at 19:13 -0400, Alvaro Herrera wrote:
>>>> Raul Perez escribió:
>>>>
>>>>> Instale un servidor de correo eb gentoo
>>>>> qmail + ssl + auth smtp + vpopmail + spanassessin etc...
>>>>>
>>>>> Pero me estan llegando cantidades espantosas de correos
>>>>> Mail Delivery de servidores a los cuales jamas eh enviado correos
>>>>> Es como si pusieran en el correo en la direccion de respuesta mi correo o 
>>>>> los correos de mi dominio para que cuando no encuentre el  correo destino
>>>>> me reboten esos mensajes a mi
>>>> Tienes dos opciones: una, eres un relay abierto.  En ese caso recibe una
>>>> golpiza virtual de mi parte (y varios de aqui estoy seguro que me
>>>> ayudaran) ;-), y a continuacion restrige tu servidor para que solo envie
>>>> correos desde quienes estan autorizados.
>>>>
>>>> Segunda opcion, un spammer esta usando tu dominio como direccion de
>>>> origen.
>>>>
>>>> En ese caso estas bien fregado.
>>>>
>>>> Si puedes, publica un registro SPF de tu dominio (y obviamente tienes
>>>> que hacer que todos los correos que se publiquen con tu dominio usen los
>>>> servidores registrados).  Algunos dominios grandes (hotmail, gmail,
>>>> yahoo) verifican eso, y si no coincide con el servidor que esta mandando
>>>> el correo, no lo aceptan.  Eso te permite reducir los rebotes que te
>>>> lleguen.
>>>>
>>>> Obviamente si el spammer trata de enviar un correo con tu nombre a
>>>> alguien que _no_ verifique el registro SPF, el rebote te llegara igual.
>>>> Pero con poder filtrar los dominios mas comunes puedes conseguir
>>>> eliminar una tajada significativa.
>>>>
>>>> Afortunadamente lo mas probable es que sea el primer caso.
>>> Existe otra opción: backscatter.
>>>
>>> Mr. Spammer envía un correo a una dirección inexistente de un dominio
>>> foo.com (sea nn en foo.com) cualquiera y cuyo remitente es victima en bar.com.
>>>
>>> El servidor de correo para foo.com recibe el correo, luego intenta
>>> despacharlo, pero la casilla nn en foo.com no existe; por lo tanto, debe
>>> notificar al emisor que el mensaje no pudo ser entregado al destinatario
>>> (550: User not found).
>>>
>>> Y el remitente (victima en bar.com) recibe dicha notificación, con el
>>> correspondiente mensaje de SPAM.
>>>
>>> Lamentablemente, victima en bar.com es el destinatario del SPAM.  No hay
>>> mucho que pueda hacer, salvo denunciar.
>>>
>>> Una búsqueda rápida en Google por backscatter me entrega la siguiente
>>> información por si quieren indagar algo más:
>>> http://www.spamresource.com/2007/02/backscatter-what-is-it-how-do-i-stop-it.html
>>>
>>> Y para evitar ser intermediario en este cuento, un Howto en Postfix:
>>> http://www.postfix.org/BACKSCATTER_README.html
>>>
>> Exactamente! Ese fue uno de los motivos por los cuales migre de Qmail a 
>> Postfix en una empresa.
>> Qmail tiene la mala costumbre de por defecto "indicar amablemente cuando 
>> una casilla no existe", lo cual no se deberia hacer.
> 
> Al contrario, es lo que debería hacer por diseño.
Quizas hace 20 años uno podia llegar y enviar dicho aviso, pero ahora 
hay que tener cuidado a quien se le responde.

>> Como teniamos exactamente este mismo problema, mientras migramos, 
>> optamos por crear una cuenta que recibiera el correo para todas las 
>> casillas inexistentes haciendo:
>>
>> antispam en TUDOMINIO > /var/qmail/alias/.qmail-default
>>
>> Y diariamente borrando los correos con cron:
>> # cat /etc/crontab |grep antispam
>> 0 0 * * * root rm /home/vpopmail/users/antispam/Maildir/new/*
> 
> Y cuando hay errores, el usuario asumirá que su correo llegó (porque
> jamás llegó un rebote); pero jamás llegó a destino.
> 
Efectivamente, esto es como esconder la cabeza bajo la tierra, pero 
funciono mientras migramos el servicio y en este caso mientras configura 
correctamente los filtros antispam, eliminaria los bounce que esta 
explotando el spammer (si fuera el caso).

Saludos!

--
Atte. Ricardo Utreras


Más información sobre la lista de distribución Linux