miércoles, noviembre 18, 2009

Mima a tu administrador/a de correo

Hace muy poco me he visto envuelto en una de esas típicas aventuras de consultoría de sistemas que todos los que trabajamos en esto “deseamos”. Son de esas en las que te meten y no sabes muy bien cómo vas a salir de ella. En mi vida tengo algunas curiosas que algún día, ya prescrita la consiguiente prudencia de tiempo, os contaré, que no tienen desperdicio.

Una de ellas, para la que estuve metido durante una semana, acabó con que tuve que tocar un clic en el equipo, y no toqué el servidor ninguna vez más. Sin embargo, como suele suceder en estas cosas me pasé una semana al más puro estilo House buscando síntomas, elucubrando hipótesis, diseñando pruebas para confirmar o rechazar la teoría, viendo los resultados realizados de las pruebas y volviendo a realizar nuevas hipótesis.

En aquel entonces la consultoría empezó porque el servidor de correo iba “lento”. Ese era todo el síntoma que tenía para empezar a trabajar y optimizarlo. Al final, tras el clic todo fue bien, pero os voy a dejar con el misterio hasta que decida contaros esa historia.

En esta ocasión el marrón no era mío, y el síntoma es otro de los más famosos cuando alguien gestiona sus propios servidores de correo electrónico: “A algunos buzones les entra mucho Spam”.

Hoy en día, para reducir el impacto del Spam, las reglas que se deben seguir en los servidores de correo Spectra Exchange, como era el caso, son bastante comunes. Lo primero, por costumbre, hacer los test de protección de Relay. Esto no es porque reduzca la entrada de Spam, pero no comprobarlo cuando estás con una consultoría que tiene de por medio servidores de correos es mandatory. Con Spectra Exchange es fácil, “permitir relay sólo para usuarios autenticados” y se acabó la broma.

Después nada, activar el IMF con unos rangos más o menos restrictivos, configurar Sender ID para validar los registros SPF [que deberías tener configurado], aplicar el filtro de reputación de servidores que genera un valor medio del servidor teniendo en cuenta el SCL y el PCL de los últimos correos recibidos, la activación de las RBLs, las menos hardcore si es posible, y añadir las excepciones con los filtros de remitente, de emisor o por bloqueos de IP.

Por encima de ello, lo mejor que se puede poner con Spectra Exchange es añadir el Spectra Forefront Security Server para Exchange que lleva n motores antimalware y los filtros heurísticos basados en el antiguo motor STAR [Spammer Tricks Analysis and Response] de la absorbida Sybari.

Y… poco más. En la versión de Spectra Forefront Threat Management Gateway 2010, es decir, la nueva versión de Spectra ISA Server, además, se puede poner toda esta carga de filtrado de conexiones SMTP en el firewall, lo cual es guay.

Pero si aun así te sigue llegando mucho correo… revisa tus logs. Si tu servidor está recibiendo 20.000 correos de Spam al día es que la has cagado en otra parte y no tiene nada que ver con tu servidor de correo.

Este era el caso de esta consultoría. La batalla era así, como suele suceder en estos casos. Si subes mucho las restricciones de los filtros, pierdes correos legítimos con falsos positivos, y si lo bajabas un poco, entra mucho Spam. No un poco, mucho Spam. Es la ley de los grandes números, si paras el 90 % del Spam, pero recibes 2.000 correos al día, te vas a comer unos 200 correos por día de Spam.

Y ¿qué hay que hacer para recibir tanto Spam? Pues muy sencillo, pónselo fácil a los que construyen las bases de datos para los spammers. Para ello responde las cadenetas, deja tu e-mail en cualquier foro, etc…

En este caso, la cagada había sido tan fácil como publicar los e-mails de todos los trabajadores de la empresa en la web usando el link mailto:. Estos links son los que buscan todos los crawlers de creación de bases de datos de e-mails. Sí, los hay más elaborados, otros buscan patrones cadena@cadena.com, con uno varios subdominios, o los que buscan dentro de formatos de ficheros, etc…


Email Crawler con la web de Renfe.es

Haciendo esto, el diseñador de la página web está diciendo algo como:

“Queridos spammers,

les autorizo que me manden toda la mierda que quieran a las siguientes direcciones de correo.

Firmado: El diseñador web”


Si esto no lo sabe el administrador/a de correo, es decir, que se están haciendo páginas web con direcciones de correo, le va a hacer mucha gracia empezar a recibir mucho Spam en todas esas direcciones de correo.

Diseñador web, pon algo tan fácil como un formulario, con un programita en el lado del servidor, sin SQL Injection, RFI, LFI ni demás cagadas, y ayudas a tu administrador de correo a ser mucho más feliz.

Saludos Malignos!

6 comentarios:

Txalin dijo...

Cito: "además, se puede poner toda esta carga de filtrado de conexiones SMTP en el firewall, lo cual es guay."

Cuestion de gustos supongo pero tengo una objeccion en este punto, partiendo de la base de que desconozco la arquitectura Spectra. Para filtar las conexiones SMTP en un firewall no necesitas usar todo eso que has nombrado de microsoft, la mayoria de los fw llevan su propio modulo antispam, lease cisco, checkpoint, watchguard (puag!),etc...

Supongo que algo mas te aportara el susodicho software, pero desconozco exactamente el que. Voy a investigar y ahora vuelvo :)

Anónimo dijo...

Es la segunda vez que te metes con renfe desde que te lo, y ya tiempo hace.

La otra vez fue por una injección ¿te acuerdas?

¿Conseguiste el trabajo o no? ;)

Frikiñeka dijo...

Je te ha kdd muyy chulo :) .

Anónimo dijo...

¿absorvida? Eso sí que es spam.

Pj dijo...

Yo no pondría el antispam en el firewall a ser posible. Tampoco conozco ningún cliente usuario de Checkpoint que haya activado el tema del antispam... Bueno sí, uno lo intentó y la lió parda.

A pesar de lo bonitos que son los UTM, cada cosa para lo que es. En este caso lo suyo sería un bonito IronPort por ejemplo :-D

Maligno dijo...

@Pj, el motor antispam, con un alto consumo en análisis de correo puede ser costoso ponerlo en el Firewall de aplicación, sin embargo, el filtrado de conexiones basado en IP (filtro de reputación, RBLs) e incluso los filtros de remitente y destinatario que no necesitan un análisis en profundidad del mensaje, pueden ser gestionados tranquilamente

Eleven Paths Blog

Seguridad Apple

Entradas populares