El Blog de Loretahur

¿Suena fea la palabreja, verdad? Pues si suena fea, peor será. Y es que se trata de un ataque que sufrimos hace unos días en nuestro servidor de correo de Nireblog y contra el que poco se puede hacer. Recibe otros nombres como outscatter, misdirected bounces, blowback o collateral spam. Incluso Juanjo lo bautizó en su día como tormenta de bounces.

¿En qué consiste este spam lateral? Pues simple y llanamente, los señores spammers se dedican a mandar esos mensajes molestos a diestro y siniestro poniendo como emisoras direcciones aleatorias de tu dominio. Es decir, mandan mensajes a direcciones que generan aleatoriamente de hotmail (por poner un ejemplo), diciendo que son pepitoeldelospalotes@nireblog.com (esta dirección también la generan aleatoriamente).

¿Esto se puede hacer? Vaya que si se puede y además de una forma sencilla (SMTP no es que sea un protocolo pensado para la seguridad…). No quiere decir que manden el spam a través de nuestros servidores, sino que simplemente falsean el from.

¿Y qué es lo que sucede entonces? Pues que mandan mensajes a direcciones que ni siquiera existen. Por tanto, el servidor que recibe el mensaje manda un bounce (notificación de que no se ha podido entregar, los famosos undeliverable mail) hacia el emisor del mensaje. Pero como ese emisor se ha falseado y se ha puesto uno de nuestro dominio, nos llega a nosotros como una auténtica tormenta. Si tenemos configurado nuestro servidor de correo para que lea de base de datos las cuentas existentes, podrá afectar a su rendimiento porque estamos hablando de cientos de mensajes por segundo a los que hay que comprobar su destinatario.

¿Y cómo lo descubres? Porque te están llegando un montón de mensajes que no tienen mail from (la mayoría de rebotes llega así). Por cierto, es importante tener un sistema de monitorización del servicio de correo para enterarte rápido de lo que te está sucediendo. Nosotros usamos para ello mailgraph, que es muy sencillo de instalar y configurar.

¿Y qué se puede hacer? Pues como he dicho al inicio, poco o nada. Como mucho cambiar el mensaje de unknown_local_recipient_reject_code de un 450 a un 550. El 450 implica un inténtalo de nuevo más tarde, por lo que el bombardeo durará más puesto que no le decimos desde un inicio que no existe esa dirección en nuestro servidor (lo que sí se consigue con un 550 que es un reject en toda regla).

Pero lo que sí se podría hacer para evitar ser uno de los “cómplices” de los bombardeos de spam lateral es hacer una serie de comprobaciones a los correos antes de rechazarlos con su respectivo bounce. Porque si se trata de mensajes de spam o que contienen virus, lo mejor será descartarlos y no generar más ruido en la Red.

Y es que el mundo del correo electrónico es la jungla

Página de Postfix sobre backscatter.

Aprovechando el trasteo que me permite el nuevo servidor de NireBlog, me he decidido a poner en un mini-howto la instalación de un servidor de correo bajo Debian Sarge y usando exclusivamente software libre.

Se ha elegido Postfix como MTA. A Postfix se le han agregado los siguientes mecanismos de seguridad: TLS (Transport Layer Security) para cifrar las conexiones y SASL (Simple Authentication and Security Layer) como sistema de autentificación.

Todo el correo que pase a través del servidor SMTP será revisado en busca de virus y SPAM. Para llevar a cabo esta tarea se utilizará AMaViSd-new como interfaz entre el servidor de correo SMTP y las aplicaciones ClamAV y Spamassassin, las cuales analizarán el correo en busca de virus y SPAM respectivamente.

Para la consulta de mensajes por parte de los usuarios se dispondrá de un servidor POP3 e IMAP, con sus respectivas versiones seguras con protocolo SSL, para lo cual se hará uso de Courier (courier-pop y courier-pop-ssl, courier-imap y courier-imap-ssl).

Los usuarios del correo no serán usuarios físicos de la máquina sino que serán usuarios virtuales almacenados en una Base de Datos MySQL.

Para crear una autoridad certificadora y generar certificados propios se ha dispuesto de OpenSSL 0.9.7e.

Aquí os dejo el documento. Cualquier metedura de pata que encontréis (algo bastante probable dada mi facilidad para decir burradas), os agradecería que me la notificaseis (bien en un comentario a este post o vía correo), para corregirla.

Manual [pdf / 465 KB]