Cómo Verificar si Su Servidor está enviando Spam
Las empresas, universidades y proveedores de servicios (como; ISP, proveedores de servicios de correo electrónico de marketing, servicios de aplicaciones, SaaS, proveedores de alojamiento) deben preocuparse si sus sistemas envían spam. Hay un problema aún peor: la plataforma de correo del proveedor puede haber sido infiltrada por ciberdelincuentes, lo que les permite aprovechar la plataforma para enviar spam y phishing o violar las comunicaciones de los usuarios. Las infracciones de este tipo también facilitan que el ciberdelincuente se mueva lateralmente en su red y en otras partes de su red y operaciones comerciales.
Este artículo lo guiará a través de las mejores prácticas de seguridad para verificar si su servidor está enviando spam. Así que aquí vamos.
Compruebe primero los registros de su servidor de correo y, a continuación, mire las listas de bloqueo
Supervise sus registros de correo saliente
Los dos indicadores de seguridad cibernética más importantes de un servidor que envía spam para un administrador de correo son el aumento de los rebotes o NDRs (Informes de no entrega) o el alargamiento de las colas de correo saliente de sus servidores. Ambos ocurren cuando se bloquean direcciones IP o dominios para un servidor, equipo de usuario o cuenta web comprometidos. Por lo tanto, debe monitorear regularmente el registro var de Linux de su servidor de correo electrónico o el Administrador del sistema de su Servidor de Exchange si desea saber si su servidor de Exchange está enviando spam que las listas de bloqueo han identificado.
Las cosas que debe buscar incluyen:
- Los registros que muestran tasas crecientes de NDR suelen ser causados por una o más listas de bloqueo que bloquean su dirección IP o dominio.
- El aumento de las colas de correo electrónico saliente debido a los aplazamientos de entrega es similar a la condición anterior. Además, es posible que reciba una alerta de su servidor de correo. Microsoft Exchange, por ejemplo, envía una Alerta de Longitud de cola remota del servidor SMTP.»
Ambos son indicadores de un problema más importante y de cómo verificar si mi servidor de correo está enviando spam. La mejor práctica es pausar inmediatamente su flujo de correo saliente para encontrar y solucionar el problema, para que otros servidores de correo no rechacen su correo electrónico y permitan que sus tasas de entrega y bandeja de entrada vuelvan a la normalidad.
Verifique las listas de bloqueo de spam
A continuación, debe verificar los listados de bloques.
- Marque MX Tool Box o Multi RBL para ver si otra lista de bloqueos lo está bloqueando. Supongamos que resulta estar limitado a UCE Protect o a algunas listas de bloqueo de aficionados, bloqueando su alcance. En ese caso, es probable que el problema esté «basado en la reputación» y sea un problema que se ha construido con el tiempo, no un problema de configuración (retransmisión abierta), servidor de correo electrónico pirateado o cuentas de correo electrónico pirateadas.
Pero ten en cuenta que no todas las listas de bloqueo actúan de la misma manera. Si no ve que Abusix o Spamhaus bloqueen el tráfico, podría ser una de las pocas listas de bloqueo como UCE protect y SORBS que bloquearán punitivamente un rango de red o incluso un ASN completo para un proveedor de alojamiento o ASN. Lo hacen, independientemente de quién más pueda estar utilizando direcciones IP en el mismo vecindario. Si usted es bloqueado por una de estas dos listas (UCE y SORBS) y no por otras listas de bloqueo, usted o su proveedor de alojamiento tienen un grave problema de abuso de red.
Implemente todas las siguientes prácticas recomendadas de seguridad cibernética de correo
Si bien los pasos anteriores son la forma más rápida de volver a encarrilarse, las siguientes son prácticas sólidas de seguridad cibernética, necesita proteger el correo electrónico de su usuario de manera efectiva y su servidor de correo y reducir el spam y el phish. Si proporciona correo como servicio (como un ISP, proveedor de alojamiento, proveedor de correo electrónico comercial, CRM y proveedor de servicios de marketing por correo electrónico) y no está tomando estos pasos hoy, está poniendo su negocio en peligro.
Bloquee el spam antes de que salga de su red y restablezca la contraseña de las cuentas de usuario bloqueadas
Bloquee los correos electrónicos enviados por sus usuarios, de forma similar a lo que haría con el correo electrónico entrante, pero utilizando un conjunto de reglas diferente. Echa un vistazo al artículo Protección de entrada y salida: Cuál es la diferencia y cómo hacerlo bien.
En serio, no solo envíes cosas malas. Está perjudicando a su entrega y a sus usuarios al no usar su sistema para alertarlos y protegerlos. Los usuarios que usan una computadora comprometida o una cuenta hackeada quieren saberlo.
Los malos actores que envían basura, también deben saberlo. Si sigues notándolos, se retirarán e irán a otro proveedor antes de que sus cosas salgan, a lo que no le importa tanto como a ti.
Como empresa, institución educativa, proveedor de alojamiento o ISP, si agrega filtrado de spam saliente, podrá::
- Bloquee las conexiones a su servidor de correo de usuarios remotos que utilicen máquinas infectadas.
- En sus filtros, bloquee mensajes utilizando dominios de spam identificados o dominios de reputación cero comúnmente asociados con phish, así como URL de almacenamiento cortas o en línea (no bloquee los dominios, solo las URL) que se han asociado con spam.
Se salva de ser bloqueado al no permitir que estos sistemas comprometidos y mensajes asociados con correos electrónicos no deseados transiten su servidor de correo.
Para cualquier usuario que bloquee, realice inmediatamente un restablecimiento de contraseña y notifique al usuario, diciéndole por qué se bloqueó su correo. Si se trata de una dirección IP de conexión con un problema, debe informar al usuario de que la IP de conexión (enrutador o máquina) se vio comprometida. Si se trata de un mensaje que está bloqueado debido al contenido, diles que es por eso que restableciste la contraseña, en caso de que su cuenta se viera comprometida. A decir verdad, te agradecerán por cuidar de su seguridad.
Por último, los usuarios y los actores defectuosos que obtienen reinicios de contraseñas repetidos son fáciles de ver en sus registros de restablecimiento. Esto le ayuda a ver los problemas y abordarlos de acuerdo con la política que decida usar.
Administre su dirección de correo y restablezca la contraseña de las cuentas de usuario que se devuelven como NDRs.
Busque NDR a destinatarios falsos devueltos a su dirección. Esto muestra el uso nefasto de su dominio en su red. Consulte el artículo de compatibilidad con RFC5321 y Microsoft Exchange Server para obtener más información.
Si se ha devuelto un mensaje a la dirección del administrador de correos, dígale al usuario por qué restableció la contraseña, en caso de que su cuenta se viera comprometida. A decir verdad, te agradecerán por cuidar de su seguridad.
Por último, los usuarios y los actores defectuosos que obtienen reinicios de contraseñas repetidos son fáciles de ver en sus registros de restablecimiento. Esto le ayuda a ver los problemas y abordarlos de acuerdo con la política que decida usar.
Si usted es un proveedor de alojamiento, ISP o Universidad, AbuseHQ de Abusix puede administrar estos informes por usted.
Verifique la autenticidad de su servidor de correo y realice una solicitud de eliminación a la red que aloja el MTA no auténtico
Asegúrese de que no bloquee su dominio porque alguien más lo esté usando para engañarlo o de que no tenga un ataque de intermediario. Un dominio sin SPF, sin firmar su correo electrónico saliente con DKIM, sin registros TXT de DNS DMARC, permite que un ciberdelincuente falsifique su identidad y bloquee su dominio.
Suplantar las direcciones de correo electrónico de sus ejecutivos de CXX o empleados, así como un ataque de intermediario, permite que un ciberdelincuente envíe mensajes a sus empleados o modifique los mensajes de los clientes. Ambos son muy peligrosos.
Mire sus registros TXT de DNS SPF, DKIM y DMARC para verificar y ver si los registros son precisos.
A su registro DMARC, agregue las siguientes etiquetas para obtener informes:
- «rua = correo::»
Esta etiqueta indica al receptor dónde enviar informes diarios de los fallos. Si es un proveedor de alojamiento, ISP o Universidad, y esta dirección es su dirección o alias de la dirección, - «fo:»
Esta etiqueta permite a los proveedores de buzones saber que desea muestras de mensajes que fallan. - «1:»
Esta es una opción esencial para agregar bajo fo: ya que le indica al receptor que envíe un informe DMARC si algún mecanismo de autenticación (SPF o DKIM) falla «pas.».
Registrarse para «Bucles de retroalimentación» (FBLs) y usuarios de acción con una alta proporción de quejas/correos electrónicos enviados
Algunos piensan que los bucles de retroalimentación son algo a lo que se suscribe si está enviando correos electrónicos de marketing. No señor. Son valiosos para cualquier persona que ejecute un servidor de correo o proporcione servicios de conectividad a Internet, alojamiento y campus.
Si es una empresa, debe usar un sistema de correo, CRM o proveedor de servicios de correo electrónico para administrar las cancelaciones de suscripción. Si suscribe su servidor de correo corporativo a un servicio de FBL, encontrará el correo no deseado del departamento o de los empleados que causa su problema. También verá a los empleados con sistemas o cuentas comprometidos enviando spam para que pueda restablecer la contraseña de sus cuentas y notificarles del problema.
En resumen
Si tiene un problema con la entrega, siga los dos primeros pasos: Supervise sus registros de correo saliente y verifique las listas de bloqueo de spam.
Implementar técnicas de seguridad cibernética sólidas a largo plazo:
- Bloquee el spam antes de que salga de su red y supervise los fallos de filtrado de salida.
- Administre su dirección de correo.
- Verifique la autenticidad de sus mensajes y supervise los fallos mediante DMARC.
- Por último, regístrese en «Bucles de retroalimentación» (FBLs) y supervise los volúmenes de quejas del usuario.
Siga estos consejos de seguridad cibernética y sus usuarios le agradecerán por ejecutar una operación de correo seguro.
Si está ejecutando un servicio de mensajería compartida como ISP, Servicio de alojamiento, SaaS o proveedor de redes sociales, hable con nosotros sobre nuestras listas de bloqueo Abusix Mail Intelligence y AbuseHQ, la primera plataforma de gestión de abuso SaaS. Por diseño, hacemos que su servidor de correo entrante y saliente y el abuso de red sean mucho más manejables.