Anti Spam Guide
Contenido
- 1 I have SPAM, what should I do?
- 2 What is SPAM? A bit of history and some data
- 3 Requisitos para esta guía
- 4 Principales síntomas
- 5 Configuración básica
- 6 ¿Dónde pueden estar los virus?
- 7 Listas negras (blacklist)
- 8 He recibido un correo porque estoy bloqueado por Hotmail ¿Qué hago?
I have SPAM, what should I do?
You have to follow these three steps:
- Check that your mail configuration if ok (Basic configuration section)
- Check that you are not sending SPAM (Where are the viruses? section)
- If you have a correct configuration and you are not sending SPAM, you may ask for delist (Delist section). In the case of a Hotmail blocking, you must also read the section "I have received a mail telling me that I am blocked by Hotmail. What can I do?".
What is SPAM? A bit of history and some data
Fight against SPAM is a battle that is being held for many years, almost since the creation of the Internet.Acoording to a Kaspersky analysis 59,2% of email is SPAM, although this level has reached a 90% value some times. Imagine thatr 9 out of 10 letters arriving your mailbox were commercial related or tried to scam you (phishing). Another point, according to this Hotmail Junkmail guide:
"We've implemented a number of mechanisms to reduce the burden of junk email which currently prevents nearly 4.5 billion email messages from reaching Outlook.com users every day!".
It is, thus, a big problem both for users and for IT professionals due to the problems of communication and scams and the great amount of resources being used to mitigate this problem.
This means two things:
- You are not the sole person affected. At Gigas we find everyday this kind of problem.
- Is a difficult-to-fix problem. By the moment, the only solution is to involve every technical and human resource so you are not identified as SPAMMERS and so the reputation of your IP improves.
Requisitos para esta guía
Conceptos básicos
Antes de empezar, es necesario conocer los conceptos básicos que intervienen tanto en el envío y recepción de email como en el cálculo de la reputación de vuestra ip.
¿Qué es una IP?
Una ip es la dirección de vuestro servidor. Al igual que en las casas tenemos una dirección basada en un sistema de códigos postales, calles, números, piso y letra; para llegar mediante internet a vuestro servidor hay que utilizar la dirección ip. Esta está formada normalmente por 4 números de 0 a 255 separados por puntos. Por ejemplo, actualmente la dirección ip de la web de Gigas es 146.255.99.196. Más adelante verás cómo saber la dirección ip de cualquier servidor.
¿Qué es SMTP?
SMTP es el protocolo para el intercambio de correos electrónicos en Internet. Son como los pasos, las reglas establecidas que tienen que seguir 2 ordenadores para poder enviar un correo electrónico.
¿Qué es SSH?
SSH es un protocolo para poderte conectar de manera remota a tu servidor en Gigas. Mediante SSH podrás entrar a la terminal del servidor, a través de la cual podrás ejecutar todas las órdenes que quieras. Los paneles web a veces son insuficientes para ejecutar ciertas tareas, por eso será necesario conectar por SSH para ejecutar ciertas órdenes en el servidor para obtener cierta información o ejecutar cierto cambio.
¿Qué es un NDR?
En el protocolo SMTP, un mensaje devuelto (bounce message), también llamado Non-Delivery Report/Receipt (NDR), es un mensaje automático que te envían cuando ha habido un problema de entrega de mensaje. Proveedores como Hotmail suelen mandar alguno cuando hay problemas de SPAM y en ese mensaje aparece un código que te indica la razón por la que se ha devuelto el mensaje. Aquí puedes ver un listado con el significado de cada código (sección Códigos de error SMTP). Este mensaje es necesario para realizar un deslit en Hotmail de manera correcta.
¿Cómo me conecto por SSH?
Para conectar por SSH vas a necesitar tanto el nombre de usuario como la dirección ip y la contraseña. Estos datos los vas a poder ver en el panel de control de Gigas.
A continuación os dejamos una guía para conectar por SSH con los sistemas operativos de escritorio más comunes.
Guía para conectar por SSH en Windows.
Guía para conectar por SSH en Mac.
Guía para conectar por SSH en Linux.
Una vez nos conectemos por SSH, ya podremos dar órdenes al servidor.
¿Cómo veo la cola de correo?
La cola de correo es un espacio reservado para correos electrónicos que no han podido ser entregados por cualquier causa o que van a ser entregados. Cuando tenemos problemas de SPAM, los servidores de correo rechazan nuestra conexión y los correos se quedan en la cola para volver a ser entregados pasado un tiempo. Para consultar los mensajes de la cola de correos, se puede hacer de la siguiente manera:
- Por SSH: hay que entrar por SSH y ejecutar el comando postqueue -p
- Panel Plesk: hay que ir a Herramientas y configuración > Correo > Configuración de servidor de correo > Cola de correo. Haciendo click en el asunto del mensaje podrás ver las cabeceras del correo electrónico.
¿Envías newsletter que se califican como SPAM?
En el caso en el que envíes muchas newsletter, es posible que seas calificado como spammer debido a que hayas enviado muchísimos correos de manera muy rápida a muchas cuentas (lo mismo que hacen los spammers). Te recomendamos que antes de enviar un boletín de noticias (newsletter) revises si está bien formado para que los filtros antispam te lo califiquen como SPAM o no. Esta web quizás sea de gran ayuda: spamscorechecker.com.
Principales síntomas
En esta sección vamos a analizar los principales síntomas que nos hacen ver que estamos sufriendo un bloqueo o tenemos una reputación baja.
Los proveedores de servicios de correo electrónico toman muchas medidas y comprobaciones antes de aceptar un correo electrónico. Estas comprobaciones son las que determinan si un correo debe entrar a la bandeja de entrada, a la bandeja de SPAM, debe ser devuelto o no debe ser ni entregado. Todo esto depende de nuestra reputación.
Cuando un correo entra en la bandeja de SPAM, el principal síntoma es que nuestro destinatario no ve el correo (o lo ve en la carpeta dedicada al SPAM).
Cuando un correo es devuelto al enviar un correo, el servidor de correo nos lo devolverá con un código de error y las razones por las que se ha devuelto.
Cuando un correo no es entregado, los mensajes se quedarán encolados en vuestro servidor de correo para volverlos a servir pasado un tiempo establecido. También obtendremos un código de error para saber las causas del rechazo.
Razones y soluciones
Para explicarlo de forma más sencilla, digamos que nuestra ip y dominio tienen una reputación en Internet que se estima en base a varios parámetros. Uno de ellos son las listas negras (blacklists), las cuales evalúan si una ip (o rango) ha estado enviando spam. Otros proveedores como Hotmail o Gmail tienen sus propios métodos (en el caso de Hotmail se llama smartscreen) y hay veces en los que su veredicto no tendrá nada que ver con las listas negras (tanto para bien como para mal). Otra cosa muy importante es tener una configuración correcta para que cuando llegue el momento en el que nos pregunten por nuestra “identidad”, seamos claros y lo suficientemente sinceros para que no duden de nosotros. Esto conllevará una mejor verificación de datos y por lo tanto una mejor reputación.
Configuración básica
¿Cómo puedo comprobar que lo he configurado correctamente?
Puedes utilizar la web mail-tester.com para comprobar tu puntuación respecto a la configuración. Se trata de enviar un email a la dirección que ellos te dicen y una vez lo hagas podrás ver si tu configuración está bien hecha o no, indicándote los fallos en caso de tenerlos. De forma más directa puedes comprobar aquí tu SPF (hay que poner el dominio) y el DKIM (el selector suele ser "default").
No he tenido una buena puntuación :(
Si no has tenido una buena puntuación en el comprobador del punto anterior, hay que configurar los elementos básicos para que no duden sobre nuestra identidad.
HELO / PTR
El HELO es uno de los pasos del protocolo SMTP. Es como preguntar a un servidor de correo ¿cómo te llamas? Este parámetro se configura en el servidor de correo, pero en los servidores con paneles el cambio tiene que ser a través del panel. A continuación detallamos cómo cambiar el HELO tanto en linux sin panel como en linux con panel:
- Linux sin panel:
- Cambiar en el archivo /etc/postfix/main.cf el parámetro myhostname y smtpd_banner (deben contener un subdominio que resuelva mediante DNS).
- También sirve el comando postconf -e myhostname=mail.tudominio.com
- Linux con cPanel: poner en "Configuración de red > Cambiar nombre del servidor> Nuevo nombre de servidor" un dominio que esté en el VPS y que resuelva.
- Linux con Plesk: poner en "Inicio > Herramientas y configuración > Herramientas y configuración > Configuración del servidor > Configuración del sistema > Nombre completo del host" un dominio que esté en el VPS y resuelva.
SPF
El SPF es un registro DNS de tipo TXT que indica quién puede enviar correos en nombre de ese dominio. Los filtros anti-spam, al dudar de la reputación de una ip o vericidad de un correo se preguntan "¿Puede la ip que me ha enviado este correo enviar en nombre de ese dominio?" y, entonces, es el SPF el que responde a la pregunta "¿Quién puede enviar correos en nombre de mi dominio?".
¿Tengo configurado mi SPF? ¿Cómo sé cuál es mi SPF?
Para comprobar tu SPF puedes utilizar muchos comprobadores online como este.
Un ejemplo de SPF puede ser el siguiente:
v=spf1 ip4:146.255.99.195 include:_spf.google.com -all
En el caso de que no haya SPF en el comprobador nos saldrá el siguiente texto:
No valid SPF record found of either type TXT or type SPF.
¿Dónde configuro mi SPF?
Como ya hemos definido, el SPF es un registro DNS de tipo TXT. Es decir, habrá que añadirlo en tu panel de configuración DNS. Si no tienes el dominio contratado con Gigas, el panel es el de tu proveedor de dominios. En el caso en el que hayas cambiado los registros NS y los hayas puesto del tipo tuip.dnsgigas.es (aquí tienes un tutorial), el panel será cPanel o Plesk. Por lo tanto los registros SPF estarán configurados automáticamente por el panel. En el caso de que no tengas un panel, la configuración del registro TXT se debe hacer a mano en el servidor DNS.
Si no te acuerdas desde dónde configuras tus registros DNS, entra en https://www.whatsmydns.net/#NS y comprueba tu dominio (hay que poner tu dominio en el cuadro blanco y el tipo de registro: NS).
- Si tras darle a buscar, la respuesta es dns0[1,2,3 y 4].gigas.com, la configuración la tienes que hacer desde tu panel de Gigas.
- Si la respuesta es del tipo tuip.dnsgigas.es y tuip.ns2.dnsgigas.es, tienes que configurarlo a través del panel que tengas (Plesk o cPanel).
- Si el resultado es otro, copia y pega la respuesta y haz una consulta de tipo A, te dirá la ip en la que lo tienes que configurar.
¿Qué pongo como SPF?
El SPF tiene una estructura definida, es decir, no se puede poner algo sin sentido. Para generar tu registro SPF, lo mejor es que entres en este asistente y respondas a las preguntas que te hace. Una vez termines, tendrás que poner el registro que te genera en la parte superior. En el caso de que lo pongas a través de un panel, el tipo sería TXT y el contenido sería lo que hay entre comillas.
Domain Keys / DKIM
DomainKeys es un mecanismo de autenticación para comprobar que el que ha enviado el correo es realmente quien dice que es. En pocas palabras, cuando los filtros antispam se preguntan sobre la veracidad del correo que acaban de recibir se preguntan ¿este usuario es realmente quien dice que es? y mediante DomainKeys se obtiene esa respuesta.
A continuación detallamos habilitar DomainKeys tanto en linux sin panel como en linux con panel:
- Linux sin panel: tendrás que buscar por Google cómo hacerlo para tu servidor de correo (generalmente postfix) y tu distribución linux ya que no hay una forma única de hacerlo.
- Linux con Plesk:
- Habilitar la opción "Inicio > Herramientas y configuración > Configuración de correo a nivel de servidor > Protección antispam DomainKeys > Permitir la firma de correo saliente".
- Habilitar la opción "Inicio > Suscripciones > tudominio > Sitios web y dominios > Configuración de correo > Usar el sistema de protección antispam DomainKeys para la firma de los correos salientes".
- Linux con cPanel:
- En cPanel ir a "Correo > Autenticación de correo electrónico" y habilitar el "DKIM".
Limitación de envíos
A veces es bueno limitar el número de mensajes que se pueden enviar para evitar una pérdida de reputación. Cuando nuestro servidor es comprometido, los SPAMMERS empezarán a enviar cientos de miles de correos por todo el mundo. Habilitando estos límites detectaremos el problema y evitaremos que el desastre sea mayor.
A continuación detallamos cómo limitar el número de mensajes salientes tanto en Linux sin panel como en Linux con panel:
- Linux sin panel: dado que suele ser instalado por usuarios avanzados, recomendamos el uso de policyd.
- Linux con Plesk:
- Habilita la opción en "Inicio > Herramientas y configuración > Configuración de correo a nivel de servidor > Activar limitaciones de correos salientes".
- Rellena los campos según estimes en base al uso de tu servidor de correo.
¿Dónde pueden estar los virus?
Los virus de envío de SPAM se pueden encontrar tanto en los clientes como en el servidor. Es decir, pueden estar tanto en tu propio ordenador o dispositivo móvil, como en tu propio servidor.
Virus en los clientes
Hay veces en que los dispositivos son infectados con el único objetivo de enviar SPAM a través de los programas de correo. Tendrías que revisar con varios antivirus todos los dispositivos que han tenido acceso a las cuentas de correo de tu servidor.
En el caso en el que los correos se queden en la cola de correo, en las cabeceras de los correos encolados puede que haya información importante en el apartado de X-Mailer. Ahí suele aparecer desde dónde se ha enviado el correo (por ejemplo Windows Live Mail, iPhone, etc).
Otras veces, lo que pasa es que alguna de las cuentas tienen una contraseña muy débil y esta ha sido adivinada. En ese caso, tendrás que cambiar la contraseña de todos los usuarios y establecer una contraseña más segura (puedes consultar la fortaleza de tu contraseña en este enlace).
Virus en el servidor
De igual forma que en los clientes, también se puede pasar un antivirus al servidor. Nosotros recomendamos el antivirus ClamAV. Para pasar el antivirus tienes que conectar por SSH a tu servidor (si no sabes cómo hacerlo se explica más arriba) e instalar y ejecutar el antivirus (cada distribución tiene un método). Buscar por internet cómo instalar ClamAV para tu distribución.
Otra forma para encontrar los virus (scripts) que envían correos de manera masiva es habilitar el log de emails de envío.
En el caso en el que tengas un panel Plesk:
- sigue estas instrucciones si tu servidor de correo es Postfix (el más común)
- sigue estas instrucciones si tu servidor de correo es Qmail.
Virus en el servidor. Caso especial de Wordpress
Es especialmente grande el número de Wordpress que han sido comprometidos por spammers para lograr su objetivo: intervenir el servidor y enviar SPAM desde otros servidores. Es MUY IMPORTANTE que mantengas tanto tu wordpress como tus plugins actualizados. Para que esto se haga de manera automática, puedes utilizar este plugin.
Es también importante que no se utilicen temas de pago piratas ya que frecuentemente incluyen malware para infectar los servidores y tomar el control de ellos. Hay numerosos temas gratuitos en la página web de Wordpress.
Listas negras (blacklist)
Hay servicios de listas negras en internet que detectan y listan las ips que están enviando SPAM. Algunas de estas listas negras son muy tenidas en cuenta a la hora de aceptar correo de una ip y otras listas negras son menos tenidas en cuenta. Si tu servidor está correctamente configurado (por favor, revisa los puntos anteriores para asegurarte) y estás en listas negras, es muy probable que se deba a que un programa malicioso (en adelante virus) está enviando correos desde tu servidor. Hay muchísimas webs para comprobar si tu ip está en una lista negra como por ejemplo multirbl o mxtoolbox.
Es importante resaltar que hay listas negras "pirata" que a pesar de no tener relevancia en la lucha contra el SPAM, piden dinero para ser deslistados. No pagues nunca por ese tipo de servicios y no los confundas con servicios profesionales de monitorización de listas negras.
También hay que tener en cuenta que hay ciertas blacklist que tienen comprobaciones que no se aplican a todo el mundo (por ejemplo dnsblchile.org). Por lo tanto, no dan información relevante.
Delist
El delist es el deslistado de tu ip en los servicios que te están ocasionando problemas. Los grandes proveedores de servidios de correo ofrecen formularios de contacto para que les solicites que tu ip no sea categorizada como SPAM. Es MUY IMPORTANTE que solicites el delist siempre y cuando te hayas asegurado de:
- Tener la configuración de identificación bien hecha (ver apartado Configuración básica).
- Tu servidor no está comprometido y por lo tanto no estás enviando SPAM de manera no intencionada.
- Es muy buena idea crear correos de contacto de tipo postmaster@tudomino.com, abuse@tudominio.com y webmaster@tudominio.com en el proceso del deslist, ya que dan mayor legitimidad a la IP y dominio.
Si solicitas el delist y no cumples estas tres características, el delist no se efectuará y será incluso perjudicial, ya que hará que sea más difícil salir de nuevo de la lista negra.
Delist Hotmail
Haz click aquí para solicitar el delist en Hotmail. Durante el proceso necesitarán el mensaje de error (ver más arriba ¿Qué es un NDR?) que te devuelve Hotmail al rechazarte un correo (hay que ponerlo en el apartado que dice "Copie y pegue los mensajes de error:" ). Es más efectivo que lo rellenes 2 veces, una vez indicando que el dominio al que se envía es a hotmail.com y otra indicando que es a outlook.com.
Delist Gmail
Haz click aquí para solicitar el delist en Gmail.
Delist Yahoo
Haz click aquí para solicitar el delist en Yahoo. Antes de solicitar este delist es importante comprobar si apareces aquí.
Reenvío de correos
NO es recomendable tener una dirección de correo electrónico que reenvíe el correo a otro proveedor de correo (Gmail... Hotmail...). Puede suceder que nos llege una gran cantidad de correos que serán automáticamente reenviados al proveedor de correo, lo que hará que el proveedor detecte que le estás enviando una gran cantidad de correos (tienen sus propios límites de correos por minuto/hora) y llegue a banear tu servidor. Ten en cuenta que estos proveedores ofrecen soluciones para empresas de pago y el efecto que se consigue con el reenvío es el mismo pero de manera gratuita.
He recibido un correo porque estoy bloqueado por Hotmail ¿Qué hago?
Lo más importante es asegurarse de que la configuración básica (ver apartado "Configuración básica") está bien hecha y comprobar que tu servidor no está enviando SPAM habilitando el log de correo durante unas horas (ver apartado "¿Dónde pueden estar los virus?")
Si ya has comprobado que la configuración está correctamente y que no estás enviando SPAM, debes registrarte en 2 programas de Hotmail para la lucha contra el SPAM: SNDS y JMRP.
Una vez hecho todo esto, el delist de Hotmail (ver apartado "Deslist") será con toda seguridad exitoso y podrás enviar correos a Hotmail sin problema.
SNDS
SNDS (Smart Network Data Service) es un programa web que pone a disposición Microsoft para saber cuándo han detectado SPAM desde tu servidor. Para saberlo, tienes que entrar en esta web y validarte para saber los datos sobre tu ip. Para ello, lo primero que necesitas es una cuenta de Hotmail. Una vez inicies sesión, tendrás que ir a Request Access y poner tu ip en el campo "Network to request access for:". Una vez le des a submit, te pedirá una cuenta a la que hacer la validación. Debe aparecer, entre varias, una cuenta del tipo [abuse@tudominio.com] la cual, si no existe, tendrás que crear y continuar para que te validen. Si no aparece una cuenta relacionada con tu dominio, tendrás que revisar el apartado de la guía de configuración (no se está detectando el PTR).
Importante: la solicitud tiene que hacerse a una cuenta a la que tengas acceso. Nosotros, desde Gigas, no podemos aceptar ninguna solicitud hecha a las cuentas de @gigas.com. Por el resto de cuentas no te preocupes, son parte de un proceso automatizado de validación que hace el SNDS. Te llegará un correo a esa cuenta y una vez le des click al enlace que contiene podrás ver los datos. ¿Cómo? accediendo al apartado de View Data en el portal SNDS y buscando en el calendario el momento en el que detectaron el SPAM ( bajo este párrafo tienes un ejemplo ). Todos los detalles técnicos y demás información están explicados en su apartado de preguntas frecuentes/FAQ (sólo disponible en inglés).
JMRP
JMRP (Junk Mail Reporting Program) es un programa web que pone a disposición Microsoft para saber qué se ha detectado como SPAM desde tu servidor. Entra aquí (es un apartado dentro del portal del SNDS), completa los campos con datos REALES (pide en complain format que te manden el mensaje original) y sigue con el procedimiento (te llegará un email el cual tendrás que firmar digitalmente). Ten cuenta que este tipo de compromisos son muy tenidos en cuenta por Microsoft tanto para bien como para mal, es decir, rellenar el JMRP con la configuración correcta y estando seguros de que no estamos enviando SPAM de manera maliciosa puede tener muy buenas consecuencias (el deslistado será más rápido y efectivo). Rellenar el JMRP cuando la configuración está mal o se está enviando SPAM de manera no intencionada puede tener malas consecuencias.