El spam es un problema cada vez mayor que afecta a servidores de correo en cualquier plataforma. Los spammers siempre están buscando nuevas formas de atacar por lo que hay que estar siempre alerta. Tanto los administradores de sistemas como los clientes deben trabajar en conjunto para poder combatirlo eficazmente.
Un servidor que envía spam termina siendo puesto en las listas negras de entidades que regulan el spam en la web como spamcop y barracuda entre otras, esto hace que la reputación del mismo disminuya y muchos hosts impidan la entrada de correos provenientes del mismo, perjudicando así a los clientes y a la empresa.
A veces los clientes envían spam sin ser conscientes de ello, ya sea porque les infectaron su sitio mediante algún código malicioso que utiliza la función mail de php para enviar correos de spam masivamente, ya sea porque obtuvieron la contraseña de una de sus cuentas para hacer exactamente lo mismo, etc.
En esta oportunidad veremos algunos tips para combatir el spam desde el lado del cliente (en otra oportunidad lo haremos desde el lado del servidor por parte de los administradores)
Seguridad en los sitios a nivel de código y permisos
Siempre es necesario que los clientes verifiquen los permisos aplicados a las carpetas de archivos y directorios para asegurarse de que éstos no son excesivos. Los permisos 777 dejan el sitio expuesto a inyecciones de código malicioso.
Los scripts que utilicen deben ser seguros. Si utilizan scipts comerciales como WordPress, Joomla!, Drupal, PHPbb, etc, tienen que asegurarse de que estén siempre actualizados así como los plugins y módulos que usen, para evitar hackeos.
Contraseñas seguras
Las contraseñas de FTP y las casillas de correo, así como los accesos a los paneles de administración de WordPress u otros scripts deben ser seguras, con combinaciones de letras y números, usando mayúsculas y minúsculas. Jamás deben utilizar las típicas contraseñas como «123456» y similares, ya que son muy fáciles de hackear.
Equipos domésticos seguros y libres de malware
Los equipos domésticos desde los cuales acceden al servidor deben estar securizados, libres de malware como keyloggers y troyanos con los cuales logran hurtar los accesos a los sitios y a las cuentas de correo para luego enviar spam y realizar diversos hackeos.
Lamentablemente es muy común que los usuarios tengan sus equipos con sistemas operativos pirateados y programas pirateados, y muchas veces éstos ya traen de regalo diversos tipos de malware que se instala en segundo plano, hurtando todo tipo de datos que van a parar a los spammers.
Siempre es necesario tener un buen anti-virus actualizado que realice auditorías de seguridad en los equipos.
Nosotros siempre recomendamos AVAST, que es gratuito y de excelente calidad.
Y, claro, recomendamos encarecidamente el uso de GNU/Linux en lugar de Windows ya que no se compara la seguridad del primero con la de éste último. Un sistema operativo como Ubuntu GNU/Linux es ideal para el trabajo diario en cuanto a desarrollo web.
El tema de los Newsletters
Este es otro factor que hace que muchas veces los clientes sean penalizados, así como el servidor de correo en el cual operan, por los ISP’s que en base sus políticas aplican diversas restricciones y filtros para combatir el spam. Cuando esto ocurre, los mensajes provenientes de la lista de distribución penalizada no llegarán a la bandeja de entrada de los destinatarios o caerán directamente en la bandeja de spam, haciendo que generalmente no sean revisados.
Microsoft es sin duda el más problemático y el más restrictivo, seguido por Yahoo! y en tercer lugar está Google.
Vamos a revisar algunas buenas prácticas a la hora de utilizar listas de distribución de correo o NewsLetters para tratar de mitigar estos problemas.
1.- Los destinatarios de los correos de la lista deben ser aquellos que se suscribieron voluntariamente a la misma y no aquellos cuyos correos hayan sido obtenidos por otros medios.
2.- La lista debe tener un mecanismo de confirmación para con los nuevos usuarios, es decir que una vez que alguien se da de alta se le envía un correo de confirmación y solo tras seguir el enlace del mismo y confirmar la membresía quedará activo ese usuario.
3.- Cada correo enviado debe tener un enlace directo al pie del mismo mediante el cual el suscriptor pueda darse de baja cuando así lo desee, y una vez que lo haya hecho se lo quitará de la lista y no se le enviará más correo proveniente de la misma.
4.- La lista de be ser depurada y revisada periódicamente a efectos de mantenerla limpia, quitando aquellos correos que generan rebotes, ya sea porque la casilla de correo del suscriptor ya no está operativa u otros motivos.
5.- Muchas veces los suscriptores en lugar de darse de baja siguiendo el enlace que, como dijimos antes, debería contener cada correo para tal fin, prefieren marcar el correo como no deseado (spam) y esto a la larga termina perjudicando al emisor de la lista ya que los ISP’s marcan como spam a los correos provenientes de la misma. Si esto ocurre, se deberá acudir al soporte técnico ya sea del hosting o del ISP para tratar el tema y buscar una solución.
6.- Los ISP’s mas populares utilizan mecanismos de autenticación de correo como SPF y Domain Keys, éstos deberán estar debidamente configurados en las DNS del dominio desde el cual se realizan los envíos. De esta forma se logra mitigar más el problema con las restricciones y las penalizaciones. Pero no garantiza que se esté exento de ellas, ya que si no se siguen las buenas prácticas para con los envíos, de nada servirán.
7.- Los envíos deben ser moderados, muchas veces los ISP’s penalizan por la cantidad de correos enviados por hora a sus servidores, así que configuren el software que usan para que envíe de a poco y no todo de una sola vez.
Teniendo en cuenta todos los puntos descritos en el artículo podemos combatir el spam exitosamente.
