Con la cantidad masiva de spam que existe en estos días, es para los administradores cada vez más importante estar actualizados de las posibles causas por las que su dirección IP de la empresa puede terminar en listas negras.

Actualmente, los spammers usan todo tipo de trucos para tratar de enviar tantos mensajes de spam como sea posible manteniéndose ocultos, lo hacen a través de diversas técnicas como la ingeniería social, el uso de malware, botnets, encabezados de mensajes, y la explotación de vulnerabilidades en los sistemas de correo electrónico y de red.

Para el spammer, todo se trata de un juego de números. No cuesta nada enviar miles de mensajes de spam, si incluso pocas personas hacen clic en un enlace o compran un producto anunciado en un mensaje de spam, el spammer se termina beneficiando. Ahora si toda una infraestructura de correo electrónico no está bien protegida, entonces corre el riesgo de ser infectado con malware y convertirse en parte en la red de spam y ser bloqueada. Incluso si su servidor no está infectado con malware, el hecho de que el firewall y la configuración de se­­­guridad del servidor de correo no estén configurados correctamente llevaría a que su dirección IP terminara en una lista negra.

Para protegernos de las listas negras, recomendamos los siguientes consejos:

• Autenticación SMTP– Recomendamos que todos los usuarios utilicen la autenticación SMTP. Desde MDaemon, Seguridad | Configuración de seguridad | Autenticación de remitente | Autenticación SMTP. A continuación, marcamos la casilla «La autenticación siempre es necesaria cuando el correo proviene de cuentas locales». Debemos asegurarnos que «… a menos que el mensaje esté en una cuenta local» se encuentra desmarcado.
• Solicitar contraseñas seguras – Es común que los spammers realicen ataques «de diccionario» en servidores de correo. Este tipo de ataques utiliza una gran lista de palabras que se utilizan comúnmente como contraseñas, para tratar de adivinar las nuestras. Para combatir esto, los usuarios siempre debemos usar contraseñas seguras. Contraseñas como «contraseña1» deben evitarse. La recomendación es que usemos contraseñas que contengan letras mayúsculas y minúsculas, números y símbolos.
• No permitir la retransmisión – La retransmisión se produce cuando el email que no es de una cuenta local se envía a través de su servidor de correo. Es muy común que los spammers exploten esta opción. Por lo tanto, debemos asegurarnos de que nuestro servidor no retransmite correo. Recomendamos no revisar los cuadros de exclusión en esta pantalla.
• Tener un registro PTR válido. Debe coincidir con la IP pública saliente del servidor de correo o nombre de dominio completo o FQDN (mail.example.com). El ISP puede crear este registro . Un registro PTR permite a los servidores receptores realizar una búsqueda DNS inversa en la dirección IP, para verificar que el nombre del servidor está realmente asociado con la dirección IP desde donde se inició la conexión y evitar usos falsos de su IP.
• Configurar un registro SPF – SPF (Sender Policy Framework) es una técnica anti-spoofing que determina si un correo entrante de un dominio, fue enviado desde un host que está autorizado a enviar. (Esto es básicamente lo contrario de un registro MX, que especifica los hosts que están autorizados a recibir correo para un dominio.)
• Configurar el IP Shield – IP Shielding es una característica de seguridad que permite especificar direcciones IP o rangos de direcciones IP que pueden enviar correo a un dominio en particular. Debemos configurar el escudo de IP para que sólo acepte correo de nuestro dominio local, si procede de una dirección IP autorizada. Para los usuarios que pueden estar enviando correo electrónico desde fuera de nuestra red, podemos configurar excepciones marcando la casilla «No aplicar Escudo IP a sesiones autenticadas».
• Habilitar SSL – SSL (Secure Sockets Layer) es un método para cifrar la conexión entre un cliente de correo y el servidor. Debemos tener un certificado válido. Todos los clientes de correo deben comunicarse con el servidor de correo a través de los puertos SSL (587 – MSA, 465 – SMTP, 995 – POP o 993 – IMAP).
• Habilitar la detección de robo de cuenta: Esta función se puede utilizar para limitar el número de mensajes que una cuenta puede enviar en un período de tiempo determinado. Esta característica se aplica sólo a las sesiones autenticadas y se utiliza para evitar que una cuenta robada se utilice para enviar cantidades masivas de spam y ponga en riesgo su servidor para listas negras.
• Habilitar el rastreo dinámico: Similar a la detección de robo de cuenta, puede usarse para bloquear conexiones de direcciones IP basadas en su comportamiento. Por ejemplo, el control dinámico puede utilizarse para bloquear conexiones de IPs que fallan un número especificado de intentos de autenticación o IPs que intentan conectar un número especificado de veces en un período de tiempo determinado.
• Mensajes de firma con DKIM – La Identificación de llaves de dominio (DKIM) ayuda a proteger a los usuarios de correo electrónico contra el robo de identidad de correo electrónico y la manipulación de contenido de correo electrónico. Esto se hace proporcionando una identificación positiva de la identidad del firmante junto con un «hash» cifrado del contenido del mensaje. Con DKIM, se crea una clave privada y pública. La clave se publica en los registros DNS del dominio de firma y los mensajes salientes se firman con la clave privada. El servidor receptor puede leer esta clave desde el encabezado del mensaje y luego compararlo con la clave pública.
• Hosts de confianza y IPs de confianza: Debemos asegurarnos que sólo los hosts o IPs de confianza aparecen como de confianza. Los hosts de confianza y los IP de confianza están exentos de varias configuraciones de seguridad, por lo tanto, si se enumeran direcciones IP o hosts que no confían completamente, su servidor puede volverse vulnerable a la retransmisión y el envío de correo no deseado.
• Bloqueo del puerto 25 en la red– Configurar el firewall para que sólo permita conexiones salientes en el puerto 25 desde su servidor de correo o dispositivo de filtro de correo no deseado. No se permitirá a ningún otro equipo de la red enviar datos de salida en el puerto 25.
• Configurar el cortafuegos para registrar toda la actividad saliente en el puerto 25 de todas las máquinas de nuestra red: para ayudar a rastrear cualquier máquina que pueda retransmitir correo.
• Utilizar una IP estática exclusiva– Pueden surgir varios problemas al utilizar una IP dinámica en nuestro servidor de correo. Si el servidor pierde su conexión a Internet, luego vuelve a conectarse con una dirección IP diferente, sus registros DNS todavía apuntan a la antigua dirección IP. Sii otro equipo obtiene nuestra antigua dirección IP, pueden surgir otros problemas. Por ejemplo, si el equipo tiene un MTA correctamente configurado en el puerto 25, entonces el correo sería rebotado. Si el ordenador tiene un MTA de relé abierto en el puerto 25, entonces el correo será retransmitido por esta máquina. Si la máquina está en listas negras, el correo se perderá. Por estas razones, recomendamos usar una IP estática en el servidor de correo.

Si sigues estas recomendaciones, las posibilidades de ser incluido en listas negras se reducen considerablemente. Estas prácticas te ayudarán a garantizar que no retransmites el correo, que tus comunicaciones están encriptadas, que los usuarios están autenticados y que los spambots no han podido enviar correo desde tu red.

Estaremos encantados de responder cualquier pregunta o comentario que tengas. No dudes en ponerse en contacto si quiere conocer más de seguridad y efectividad con nuestro equipo de soporte al +34 93 184 53 53 o mediante un email a interbel@interbel.es