Backscatter, un ataque de correo

spam¿Suena fea la palabreja, verdad? Pues si suena fea, peor será. Y es que se trata de un ataque que sufrimos hace unos días en nuestro servidor de correo de Nireblog y contra el que poco se puede hacer. Recibe otros nombres como outscatter, misdirected bounces, blowback o collateral spam. Incluso Juanjo lo bautizó en su día como tormenta de bounces.

¿En qué consiste este spam lateral? Pues simple y llanamente, los señores spammers se dedican a mandar esos mensajes molestos a diestro y siniestro poniendo como emisoras direcciones aleatorias de tu dominio. Es decir, mandan mensajes a direcciones que generan aleatoriamente de hotmail (por poner un ejemplo), diciendo que son pepitoeldelospalotes@nireblog.com (esta dirección también la generan aleatoriamente).

¿Esto se puede hacer? Vaya que si se puede y además de una forma sencilla (SMTP no es que sea un protocolo pensado para la seguridad…). No quiere decir que manden el spam a través de nuestros servidores, sino que simplemente falsean el from.

¿Y qué es lo que sucede entonces? Pues que mandan mensajes a direcciones que ni siquiera existen. Por tanto, el servidor que recibe el mensaje manda un bounce (notificación de que no se ha podido entregar, los famosos undeliverable mail) hacia el emisor del mensaje. Pero como ese emisor se ha falseado y se ha puesto uno de nuestro dominio, nos llega a nosotros como una auténtica tormenta. Si tenemos configurado nuestro servidor de correo para que lea de base de datos las cuentas existentes, podrá afectar a su rendimiento porque estamos hablando de cientos de mensajes por segundo a los que hay que comprobar su destinatario.

¿Y cómo lo descubres? Porque te están llegando un montón de mensajes que no tienen mail from (la mayoría de rebotes llega así). Por cierto, es importante tener un sistema de monitorización del servicio de correo para enterarte rápido de lo que te está sucediendo. Nosotros usamos para ello mailgraph, que es muy sencillo de instalar y configurar.

¿Y qué se puede hacer? Pues como he dicho al inicio, poco o nada. Como mucho cambiar el mensaje de unknown_local_recipient_reject_code de un 450 a un 550. El 450 implica un inténtalo de nuevo más tarde, por lo que el bombardeo durará más puesto que no le decimos desde un inicio que no existe esa dirección en nuestro servidor (lo que sí se consigue con un 550 que es un reject en toda regla).

Pero lo que sí se podría hacer para evitar ser uno de los “cómplices” de los bombardeos de spam lateral es hacer una serie de comprobaciones a los correos antes de rechazarlos con su respectivo bounce. Porque si se trata de mensajes de spam o que contienen virus, lo mejor será descartarlos y no generar más ruido en la Red.

Y es que el mundo del correo electrónico es la jungla 😉

Página de Postfix sobre backscatter.

Por el día, directora de identidad digital en la Universidad de Deusto. Por la noche, rompiendo techos de cristal en Doce Miradas. Y como dormir está sobrevalorado, colaboro en Radio Bilbao en la sección "De las ondas a la red" del programa Hoy por Hoy Bilbao. Puedes saber más de mí o echar un vistazo a mis publicaciones, cursos y participación en congresos.

Últimas publicaciones de Lorena Fernández (ver todas)

Related Posts Plugin for WordPress, Blogger...