Mi dominio está siendo usado para enviar SPAM

Tengo un sitio web en el que ofrezco el servicio de direcciones de correo electrónico a los usuarios. Lo tengo configurado de tal forma que todo email que sea enviado a una cuenta que no exista ([email protected]) es redirigido a la cuenta principal de dicho dominio ([email protected]).

He notado en esta cuenta un considerable incremento en los mails que llegaban a la carpeta de SPAM. Cuando entré a ver, noté que todos los mails que me llegaban eran avisos del Mail Delivery System de otros sitios. O sea, avisos de que el SPAM estaba siendo mandado desde mi dominio y que de vez en cuando no encontraba el destinatario.

Lo primero que pensás en estas situaciones es que alguien te hackeó el sitio y está usando tu servidor para mandar SPAM. Cambiás todas las contraseñas. Entrás por FTP a ver los archivos, te fijás si hay alguno nuevo y sospechoso, mirás las fechas de creación y modificación, los permisos de escritura de los directorios, comparás con tu backup en tu PC. Eliminás todos los archivos, los volvés a subir desde tu copia de seguridad. Si tenías un WordPress instalado, culpás a algún plugin, los desactivás todos. Hacés todo lo que se te ocurre. Pero sigue pasando.

SPAM en Gmail

Analizás con detenimiento las cabeceras de los mails que te llegan (“Mostrar original”) para tratar de interpretar la información de seguimiento del mensaje, ver si encontrás alguna pista. Pero es en vano, porque vos no recibís el mail de spam, sino el aviso automático del MAILER-DAEMON. Pero con suerte podés ver que la IP desde la que se están mandando no corresponde a la tuya. Es decir, que los mails de SPAM no se están mandando desde tu servidor.

Entonces, ¿qué está pasando realmente?

Esto se conoce como Email Spoofing o coloquialmente, se dice que estás siendo víctima de un Joe Job. Los spammers utilizan programas especiales para generar miles de mails desde falsas cuentas aleatorias (ej: [email protected]) que en realidad son enviados desde otros servidores pero con los datos cambiados en la cabecera para que parezca que son enviados desde tu dominio. Esto lo hacen para evitar ser agregados ellos a blacklists de remitentes; lo que significa que es probable que TU DOMINIO sea el que termina en una Lista Negra, causando que luego, los emails genuinios que tus usuarios envíen desde sus cuentas sean consideradas spam también y no lleguen a la bandeja de entrada de sus contactos.

¿Por qué a miiiiiiii?

Es aleatorio. Los spammers elijen al azar varios dominios web entre los cuales está el tuyo lamentablemente, para generar miles de direcciones falsas para luego usarlas en sus mensajes de spam, sustituyendo el verdadero remitente con tu dominio. Lo más probable es que hayan obtenido tu dominio de una “cadena” de mails reenviada por alguno de tus usuarios.

¿Qué puedo hacer?

Para evitarlo, nada. Te toca y listo. Para solucionarlo, nada tampoco. Lamentablemente hay poco o nada que se pueda hacer. El E-mail funciona así desde siempre, y permite esas cosas.
Hay una pequeña cantidad de cosas que sí podés hacer. Para empezar, verificar que los mails no estén siendo enviados realmente desde tu servidor como comenté más arriba, sino que se trate de un caso de email spoofing.

Otra cosa que se puede hacer, es crear un registros SPF en tu servidor. Esto no impide que el spammer siga usando tu dominio para mandar sus cochinos mails, sino que sirve para que tus mails genuinos no sean considerados spam, y para ayudar a los destinatarios de los emails falsos a detectarlos. Y hay que tener cuidado al crear dicho registro, porque depende de muchos casos (si usás google apps for domains, si tenés varios dominios con el mismo servidor, si usás el servidor para mandar mails de otra cuenta, etc). Lo mejor es preguntar en la mesa de ayuda de tu hosting. En el caso de que usen Google Apps for Domains, es posible que no necesiten hacer nada, porque ellos se encargan.

9 Comentarios

  1. Uso Google Apps for Domains desde siempre.

    Unos de los motivos principales era justamente el relaying.

    Listo el pollo y pelada la gallina.

    • Bueno, pero el artículo no tiene nada que ver con relaying de hecho. Yo también uso Google Apps for domains para un dominio en particular que tiene exactamente este mismo problema y me entero por que en la catch-all address me llegan los bounces de los autoresponders.

      Acá el problema es SPF. Bah, en realidad el problema es que nadie usa SPF y si te ponés restrictivo no recibís mails de nadie…

      ¡Saludos!

  2. Alrededor de 2008, me pasó algo similar con un servidor Exchange de un cliente. Algún “novato” con permisos que no debía tener modificó la configuración para dejarlo en Open Relay.
    Lo curioso es que no solo ese dominio, sino un rango bastante amplio de IP´s públicas de Iplan cayeron en todas las RBL habidas y por haber.
    Llevó casi 2 semanas salir de todas las listas – o por lo menos de las más consultadas por los ISP -.

    Nunca está demás verificar de vez en cuando dónde estamos parados:

    http://www.anti-abuse.org/multi-rbl-check/

  3. Muchachos, gracias por los comentarios, pero como dice MalditoNerd, este post no tiene nada que ver con relaying. Los mails no están siendo envidados desde mi servidor, que tengo configurado con Google Apps for Business, sino que son mails enviados por algún chino spamero, falseando los headers de los mails.

Dejar respuesta

Please enter your comment!
Please enter your name here