Plesk – Evitar el SPAM

El panel de control Plesk Parallels, en su rama 8.X, viene con diversas herramientas que intentarán evitar la llegada de SPAM a los usuarios y por otro lado, mejorar la reputación de nuestro servidor como lugar seguro y libre de spammers. Estas son:

• SpamAssasin
• DomainKeys
• Listas negras DNS
• Sender Policy Framework

¿Qué es Domain Keys?

Es un sistema de protección contra spam basado en la autenticación del transmisor(sender). Cuando un e-mail dice que viene cierto dominio, DomainKeys proveé de un mecanismo con el cual los sistemas receptores pueden determinar que ese e-mail fue originado desde una persona o sistema autorizado para enviar e-mails para ese dominio. Si la verificación del transmisor falla, el sistema receptor descarta los mensajes de ese e-mail.

Para implementar Domain Keys en nuestro Plesk, vamos a Server > Mail y activamos las opciones:

Allow signing outgoing mail: seleccionando esta opción permites a tus clientes activar el soporte para la firma de e-mails con DomainKeys por dominio a través del panel de control(Dominios > nombre dominio > Mail > Preferences > Use DomainKeys spam protection system to sign outgoing e-mail messages option). Esto no activa el firmado automático para los e-mails.

Verify incoming mail: seleccionando esta opción configuraremos el sistema de DomainKeys para comprobar todos los e-mails entrantes a usuarios bajo nuestros dominio hosteados en  el servidor

Clickamos Ok. Ahora debemos configura por dominio la aplicación del sistema DomainKeys. En este punto, nuestro servidor de e-mail comprobará todos los e-mails entrantes para asegurarse que ellos vienen de los transmisores correctos. Todos los e-mails, enviados desde dominios que usan DomainKeys para firmar e-mails y que fallen en la verificación, serán descartados. Todos los mensajes, enviados desde dominios que no participan en el programa DomainKeys y no firmen sus e-amils, serán aceptados sin verificación alguna.

Con DomainKeys activado sucederán los siguientes puntos:

• Las claves privadas son generadas y guardadas en la base de datos del servidor.
• Las claves públicas son generados y colocadas en un registro TXT creado en la zona DNS del dominio.
• La política de envío advertida en el registro TXT se configurar para que todo e-mail enviado desde nuestro dominio debe ser criptográficamente firmado, si alguien recibe un e-amil asegurando que proviene de nuestro dominio, y no está firmado, entonces ese mail deberá ser descartado.
• Los e-mails salientes son digitalmente firmados, la firma de DomainKeys contiene una firma basada en una clave privada y es añadida en la cabecera de los mensajes.

En la cabecera de los mensajes veremos el estado del mail, si ha pasado o no el filtro de DomainKeys

• good: la firma fue verificada en el momento de la prueba
• bad: la firma falló la verificación
• no key: la llave pública falló como si la llave no existiese
• revoked: la llave pública falló como si la llave hubiese sido denegada
• no signature: este email no tiene un header “DomainKey-Signature:”
• bad format: la firma de la llave pública contiene datos inesperados
• non-participant: este dominio ha indicado que no participa en el programa de DomainKeys

Si queremos asegurarnos que nuestro dominio está enviando los mails con DomainKeys deberemos buscar el header del mensaje y comprobar si ha sido enviado correctamente.

Blackhole List

Un sistema que funciona bastante bien son las listas negras (que no blancas) de Ips catalogadas como SPAMMERS: DNSblackhole lists. Para activarlo debemos configurarlo en el mismo lugar que DomainKeys, Server > Mail > Switch on spam protection based on DNS blackhole lists . Ahora podemos introducir dominios donde hacer las peticiones necesarias, algunos ejemplos serían:

• sbl.spamhaus.org
• cbl.abuseat.org
• zen.spamhaus.org

El dominio zen es una lista de todos los Spamhaus, hecho para ser el más efectivo bloqueador de spam a nivel de servidor. Debido a que incluye la lista PBL (que incorpora rangos de IPs dinámicas) asegúrate de dar acceso a cualquier rango de IP dinámico que deba tener acceso. Utilizaremos xbl y sbl junto con abuseat para conseguir un filtrado de IPs por DNS bastante fiable.

Los emails que se reciban desde dominios que por resolución de DNS pertenezcan a IPs listadas en estos dominios, serán devueltos con un error 550 (connection refused).

Sender Policy Framework (SPF)

Este sistema de prevención de SPAM también utiliza querys sobre DNS. Está diseñado para reducir el número de spam enviado desde determinadas direcciones e-mail. Con SPF, un propietario de un dominio en Internet puede especificar  las direcciones de las máquinas que están autorizadas a enviar e-mail a usuarios de sus dominios. Los receptores que implementan simplemente SPF entonces tratan cualquier e-mail sospechoso que asegure que viene de un dominio pero falle al no venir de sitios autorizados.

Volvemos a ir a Server > Mail > Preferences, seleccionamos el checkbox para activar la protección SPF y como tratará los e-mails:

• Para aceptar todos los e-mails entrantes a pesar del resultado de la comprobación SPF, seleccionamos Create only Received SPF-headers,never block. Esta es la opción recomendada.
• Para aceptar todos los e-mails entrantes a pesar del resultado de la comprobación SPF, incluso si SPF falla al hacer la comprobación debido a problemas de DNS, seleccionamos Use temporary error notices when you have DNS problems
• Para rechazar e-mails de transmisores que no están autorizados para usar ese dominio en cuestión, seleccionamos la opción Reject Mail if SPF resolves to fail
• Para rechazar e-mails que tienen muchas posibilidades de ser enviados por transmisores no autorizados para el uso de ese dominio en cuestión, seleccionamos la opción Reject mail if SPF resolves to softfail
• Para rechazar e-mails desde transmisores que no pueden ser identificados por SPF como autorizados o no autorizados porque el dominio no tiene registros SPF publicados, seleccionamos Reject mail if SPF resolves to neutral
• Para rechazar e-mails que no pasan la comprobación  SPF por cualquier razón, seleccionamos Reject mail if SPF does not resolve

A parte de estas prácticas hay otros consejos que son fácilmente aplicables:

• No permitir usar nombres cortos de mail en la autenticación (Server > Mail > Names for POP3/IMAP mail accounts). Seleccionamos Only use of full POP3/IMAP mail accounts names is allowed. De esa manera, dificultamos un poco más la tarea al spammer, porque tendrá que buscar que dominios están alojados en nuestro PLESK.
• Seleccionamos todos los dominios y vamos a Group Operations, Preferences, buscamos el apartado Reject y clickamos en Switch On. De es modo, todos nuestros dominios rechazarán cualquier envío de mail a cuentas no-existentes.
• Activar la comprobación de passwords correctos, Server > Mail > Check the passwords for mailboxes in the dictionary

Links

• http://www.openspf.org/Introduction
• http://forum.parallels.com/showthread.php?t=70642
• http://download1.swsoft.com/Plesk/Plesk8.6/Doc/en-US/plesk-8.6-unix-administrators-guide.pdf
• http://old.openspf.org/wizard.html
• http://es.wikipedia.org/wiki/Sender_Policy_Framework
• http://mattiasgeniar.be/2009/01/14/using-plesks-smtp-server-dns-blacklist-prevents-sending/
• http://www.ietf.org/rfc/rfc4870.txt
• http://tools.bevhost.com/spf/
• http://spamlinks.net/filter-dnsbl-lists.htm