Detectar y limpiar el Spam en equipos dedicados

Última modificación: 11 mayo, 2018
Seccion:

En esta guía cubriremos cómo detectar y frenar casos de spam en planes de
Negocios, Servidores VPS, o Servidores Dedicados.

Si tienes un plan de hosting convencional (ninguno de los mencionados arriba), nosotros monitoreamos los mismos con un sistema interno dado que no tienes acceso root al equipo, pero también puedes revisar los mails salientes de tus cuentas de correo con la herramienta
Monitorizar el Envío, si ves algún correo que no haya sido enviado por ustedes o recibes muchos rebotes de correos sospechosos, cambia inmediatamente las contraseñas de este correo (e idealmente todos los demás también) y revisa tu equipo con un antivirus.

Paso 1: Ubicar los correos de spam

Existen varias formas de dar con un spammer o con correos de spam enviados desde tu servidor. Uno de los métodos más rápidos es buscar todos los correos enviados usando tu dominio, por ejemplo si tu dominio es
dominio-ejemplo.com puedes ejecutar los siguientes comandos en la consola de SSH (siendo root) para…

# Cambia esto según tu dominio
DOMAIN=dominio-ejemplo.com

# Últimos asuntos de los correos enviados con ese dominio
egrep "(dovecot_login:|dovecot_plain:|P=local).*$DOMAIN" /var/log/exim_mainlog | sed -r "s/.*(T=\".*\").*/\1/" | sort -n | uniq  -c | sort -n | tail -n 300<br>

Si encuentras algún asunto de correo que no hayas enviado o que veas sospechoso, puedes usar el comando
exigrep para obtener la transacción completa de este correo, por ejemplo

# Modifica esto por el asunto, es recomendable sólo colocar las primeras palabras o una frase que no tenga símbolos
ASUNTO="Asunto Aquí"

# Puedes remover el comando tail para ver todas las coincidencias
exigrep "$ASUNTO" /var/log/exim_mainlog  | tail -n 50

Si compruebas que estos correos no fueron enviados por ustedes y tampoco reconocen la IP remitente de éste correo, es posible que el correo haya sido hackeado y que estén usando el mismo para enviar spam sin su autorización.

Paso 2: Limpiar el correo afectado

El primer paso para frenar estos correos es cambiar la contraseña del correo. Puedes acceder al cPanel de este usuario desde la opción «Listar cuentas» en el WHM de root, o directamente logueandote con sus datos (si los tienes) al cPanel.

Es posible también loguearse al cPanel completando el usuario deseado y la contraseña de root, automáticamente ingresará como root y luego cambiará a ese usuario. Es importante por esto que nunca repitas la clave de root para tus usuarios.

Una vez dentro del cPanel dirígete a «Cuentas de correo electrónico» (puede variar si lo tienes en otro idioma), busca el correo afectado y cámbiale la contraseña, puedes luego enviarle la nueva contraseña al titular de esta cuenta, si no es una cuenta propia.

En este momento es conveniente bloquear todas las IPs que se loguearon con esta cuenta, salvo las que reconozcas. Un método rápido para hacer esto es bloquear todas y luego desbloquear las que pertenezcan al país desde donde usan esta cuenta:

# Cambia esto según el correo afectado
MAIL=info@dominio-ejemplo.com

# Setup de IPs (necesario para los siguientes)
LOCAL_IPS=$(ip address show | grep inet | awk '{print $2}' | sed -r "s/(.*)\/.*/\1/" | tr '\n' '|' | awk '{print substr($0, 1, length($0)-1)}')

# IPs que se conectaron vía SMTP recientemente
egrep "(dovecot_login:|dovecot_plain:).*$MAIL" /var/log/exim_mainlog | awk '{print $7"\n"$8"\n"$9"\n$10"}' | egrep "\[([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+|[0-9\:]+)\]" | less | egrep -v "$LOCAL_IPS" | cut -d\[ -f2 | cut -d\] -f1 | sort | uniq -c | sort -n

# Bloqueo de todas las IPs que se conectaron recientemente (usando CSF)
egrep "(dovecot_login:|dovecot_plain:).*$MAIL" /var/log/exim_mainlog | awk '{print $7"\n"$8"\n"$9"\n$10"}' | egrep "\[([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+|[0-9\:]+)\]" | less | egrep -v "$LOCAL_IPS" | cut -d\[ -f2 | cut -d\] -f1 | sort | uniq | xargs -iIP csf -d IP "Spam $(date +%F)"

# Desbloqueo de países Argentina, México y España
for ip in $(grep "Spam $(date +%F)" /etc/csf/csf.deny | cut -d" " -f1); do echo -n "$ip "; geoiplookup $ip; done | egrep "AR|ES|MX" | cut -d" " -f1 | xargs -iIP csf -dr IP

Habiendo hecho esto, seguramente nadie más envíe spam con tu dominio, pero ten cuidado antes de configurar la contraseña nueva, porque es posible que el equipo donde estaba configurado este correo haya sido infectado y obtuvieron la contraseña desde ahí. Antes de usar el equipo analízalo con un antivirus y antimalware. Algunas opciones recomendadas para seguridad son
Avast AntivirusMalwarebytesSpywareBlaster.

Paso 3: Limpiar la cola de envíos pendientes

Dependiendo de la magnitud del caso, es posible que tu servidor todavía tenga correos pendientes en la cola de espera, puedes hacer esto desde la consola con alguno de estos comandos:

# Borrar los e-mails con un remitente específico
exiqgrep -f info@dominio-ejemplo.com | awk {'print $3'} | xargs -Mrm

# Vaciar toda la cola de espera
exiqgrep -i | xargs exim -Mrm

Ten en cuenta que el segundo comando borrará todos los correos y no sólo los que sean spam, y que el primero sólo borrará los que coincidan con ese usuario, muchos spammers utilizan métodos para cambiar el remitente por lo que posiblemente termines usando el segundo.

Si prefieres tener un control más avanzado sobre los correos que eliminas, te recomendamos revisar el plugin gratuito
ConfigServer Mail Queues (revisa tu WHM, porque es posible que el mismo ya lo tengas instalado).

Paso 4: Revisar si tu equipo fue bloqueado o se bajó su reputación

Un RBL es, en pocas palabras, un sistema de lista negra que se dedica a marcar IPs como maliciosas o fuentes de spam. Si tu IP está en alguna de estas listas, es posible que te reboten todos o una gran mayoría de los correos que intentes enviar, aún luego de haber limpiado tu servidor.

Te recomendamos los siguientes sitios para revisar si tu IP se encuentra bloqueada en alguno de los más comúnes:

En cada caso que aparezcas listado, tendrás que completar un formulario de de-listado explicando los cambios que hiciste para liberar tu IP de este problema.

Además de estos servicios, también existen servicios de Reputación IP que otorgan un puntaje de acuerdo a qué tan seguros están que tu servidor envía spam. Los más comúnes y populares son:

En la mayoría de estos casos deberás esperar de 2 a 7 días para que se actualice la reputación de tu servidor si la misma ha disminuído o sido marcado como «Poor» (calidad pobre). En algunos casos puedes contactarlos para que te asistan o aceleren el caso, pero no siempre es positiva la respuesta.

¿Te resulto util el articulo?
No me gusta 0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *