O de como se le va haciendo cada vez mas dificil la vida al spammer promedio.
Como decía, me gustaba mas antes, cuando era como el lejano oeste. No había tantas trabas, no existían tantas regulaciones, ni leyes, uno podía ir por internet haciendo desastres sin que nada ni nadie lo impida…
Eran épocas de gloria y pena, donde los hackers eran leyenda , no existía el concepto de zero-day, las cosas no se parchaban tan rápidamente, apache y sendmail caían todos en la volteada. Los antivirus no detectaban troyanos premanufacturados, los virus infectaban ejecutables y realmente hacían daño del que duele borrando y rompiendo, uno podía mandar un paquete mal parido formado y hacer caer windows 95 –aunque parece que ahora, con windows Vista, Server 2008 y Windows Seven caminamos sobre huellas del pasado-, el ambiente under era realmente under… Eran tiempos salvajes!
He estado tratando de poner a funcionar mi propio mailserver, para lo cual desempolvé una vieja instalación del combo postfix/dovecot que me costó bastante recomponer después de por lo menos un año de abandono -que abandoné por exactamente por estas mismas causas que menciono mas abajo- y no me he encontrado mas que con trabas por todos lados.
Si estás pensando en correr tu propio mail server en una pc de tu red interna: Ni te molestes.
Voy desde el principio:
Mi proveedor de internet es Fibertel, que tiene por slogan: «La verdadera banda ancha«. (Si esta es la verdadera, no quiero ni enterarme de como es la «ficticia»).
Fibertel de cara al usuario, bloquea el tráfico de entrada sobre el puerto 25, con lo que ningún mailserver del mundo podría comunicarse con el mío a menos que cambie de puerto y redireccione el mismo usando algún servicio como el de rollernet, con lo que además de depender de mi proveedor de DNS, Afraid, y de que mi mailserver funcione, además tengo que depender de un tercero que reciba el protocolo SMTP por el puerto 25 y me lo haga llegar por cualquier otro puerto arbitrario… (Y pasa exactamente lo mismo usando TLS para cifrar postfix).
Además de filtrar estos dos puertos también se llevan el 21, para FTP y los 138/139/445 para netbios, cosa esto último que me parece muy bien dada la cantidad de ataques que producen esos worms que revientan los servicios clásicos de windows… Supongo que nada mas bloqueando el tráfico sobre estos últimos tres puertos se deben estar ahorrando una buena cantidad de dinero en ancho de banda diario.
Suponiendo que pudiera recibir tráfico SMTP:
Ningún servidor de email que se precie funciona al 100% si no tiene habilitado Sender Policy Framework. Esto no es ningún impedimento en mi caso. Afraid.org, mi proveedor de DNS me da sin cargo la posibilidad de modificar los TXT records con lo que implementar SPF sobre mi propio servidor fué tan simple como usar el asistente de pobox.com para autogeneración del registro SPF y listo, pero no todo el mundo tiene esta posibilidad… Sobre todo los que pagan por un hosting completo que incluye servicio de DNS.
Habiendo implementado Sender Policy Framework:
Esto no para de complicarse cada vez mas. La gente de Spamhaus matiene una lista negra, un registro de todos los rangos de números de IP que no tienen por que enviar correo electrónico sin hacer relay en un proveedor conocido.
En el rango de direcciones de IP bloqueadas por esta lista negra –que muchísimos servidores de email corporativo consultan hoy en día– entran todas las direcciones de IP dinámicas de los proveedores de internet, con lo que suponiendo que puedas deshacerte de las dos trabas anteriores, contra esta no hay nada que hacer…
Spamhaus permite en realidad quitar una dirección de IP de sus listas. Si estás corriendo un servidor SMTP legítimo y una breve consulta a spamhaus muestra tu número de IP en la lista negra, siempre se puede realizar el trámite (automágico y autogestionado) para que sea eliminado de la lista previo las siguientes comprobaciones:
- Se dispone de una dirección de email corporativa. (No webmail).
- El número de IP especificado es estático. (En este se podría mentir)
- El número de IP especificado (a ser removido de la lista negra) corre un SMTP server.
- El número de IP especificado no pertenece al rango dinámico de ningún proveedor de internet dando por tierra con la mentira del punto 2.
Si hubiera suerte y me puedo dar de baja de Spamhaus:
Todavía me econtraría con que muchos SMTP servers hacen comprobaciones básicas por fuera de spamhaus. Esto es lo que escupe hotmail cuando se le quiere enviar correo electrónico a una cuenta sin haber hecho relay en un servidor «con todas las de la ley»:
host mx4.hotmail.com[65.55.92.184] said: 550 DY-001
Mail rejected by Windows Live Hotmail for policy reasons. We generally do
not accept email from dynamic IP’s as they are not typically used to
deliver unauthenticated SMTP e-mail to an Internet mail server.
http://www.spamhaus.org maintains lists of dynamic and residential IP
addresses. If you are not an email/network admin please contact your
E-mail/Internet Service Provider for help. Email/network admins, please
visit http://postmaster.live.com for email delivery information and support
(in reply to MAIL FROM command)
En definitiva: Correr tu propio servidor de correo casero, legal, 100% funcional hoy en día es IM-PO-SI-BLE.
Así y todo, cada tanto llegan derechito a mi bandeja de entrada correos queriendo vender viagra, ¿Como hacen?
Evidentemente la quinta pata del gato existe, solo que todavía no la encuentro.
Es cierto, de hecho, ya hablamos con el autor en otro ambito. Recuerdo que hace como unos 7 años atras, podia enviar correos, usando una pc conectada a internet, corriendo un postfix y nada mas. Intentando hacerlo nuevamente, me encuentro con todas estas trabas que se comentan.
Como dato interesante, queria agregar (y sin animo de «chivo») que zoneedit, tambien te permite agregar un registro del tipo «in txt» para tu dominio. Esto tal vez le sirva a alguien.
Pero es cierto, si sos un usuario regular de internet, es imposible tener tu mail server entregando correos a hotmail, yahoo, u otros.
Saludos.
Suerte con eso, a ver is realmente te dan un número de IP que sirva! (Así después me vendés espacio en tu server :D)
Saludos!
Te contesto lo ultimo, lo hacen infectando sitios vulnerables. Instalando en ellos mailers, webs de phishing, etc. Nos ha pasado con algun que otro cliente usando phpnukes o foros con agujeros.
Lo sospeché desde un principio… (No contabas con mi astucia).
No podía ser que un proveedor de hosting se arriesgara a tener un servidor blacklisted vendiéndole servicio a un spammer…
En esos casos le desactivan la cuenta al cliente o le parchan el software para que no le vuelva a ocurrir?
Saludos!
Generalmente limpiamos el problema, limitamos el acceso a algunos archivos comprometedores y avisamos al cliente para que actualice su plataforma. No hemos tenido reincidentes.
Pingback: Todos los drivers de todos los dispositivos en un único lugar – Ideal para técnicos de PC. | Maldito Nerd