Cómo combatir el spam NDR y no morir en el intento

Seguridad

El director de Gestión de Producto de GFI, David Vella, recuerda el alto coste que el spam tiene para las empresas y apunta posibles soluciones.

El spam genera una enorme cantidad de tráfico que obliga a las empresas a emplear mucho tiempo y recursos para controlarlo. Los estudios demuestran que más del 90% de los e-mails que se reciben en las compañías son correo basura, adoptando los spammers los más variados métodos para burlar los filtros de los software anti-spam.
En un principio, el spam estaba basado exclusivamente en texto, pero en los últimos años los spammers han optado por usar imágenes y archivos adjuntos comunes tales como archivos Excel o mp3 en los e-mails para conseguir colarse en los buzones de correo de los usuarios informáticos. Entre todo este abanico de métodos, una de las modalidades de spam más recientes es el NDR o Informe de Error de Entrega de e-mails.

Los sistemas de e-mail soportan un servicio llamado Informe de Error de Entrega o en inglés Non Delivery Report (NDR), que permite notificar a los usuarios acerca del éxito o fracaso de la entrega de un determinado e-mail. Un NDR es un correo enviado por el servidor de e-mail, en el que se informa de que la entrega del mensaje enviado no ha sido efectiva. Hay varios casos en los que se pueden originar este tipo de correos, pero los más comunes se deben a que el destinatario del mensaje no existe o el buzón del receptor está lleno.

Un solo correo electrónico está normalmente compuesto por un conjunto de cabeceras y al menos un cuerpo de texto. Por poner un ejemplo, imaginemos que un e-mail es enviado desde “usuario1@dominio1.com” a “usuario2@dominio2.com”. Si el nombre del dominio “dominio2.com” no existe o no tiene un servidor de correo, entonces el servidor del “dominio1.com” enviará un NDR a la dirección “usuario1@dominio1.com”. Cuando el nombre del dominio existe y el servidor del dominio2.com está aceptando correos, el comportamiento es diferente. En este caso, el servidor de correo del dominio2.com debería comprobar si el buzón de correo de destino existe y está aceptando correos.
Si este no es el caso, entonces el servidor de correo debería rechazar el e-mail en cuestión. Sin embargo, muchos servidores de correo aceptan cualquier e-mail y lo rebotan después si la dirección de destino no existe. Otro ejemplo posible es que la dirección “usuario2@dominio2.com” no exista, pero que el servidor de correo del dominio2.com acepte el e-mail ya que no puede verificar si el buzón de correo existe o no. El servidor envía entonces un mensaje NDR al “usuario1@dominio1.com” que incluye el mensaje original adjunto.


Los informes de error de entrega o NDRs son algo habitual en el intercambio diario de e-mails. No obstante, los spammers pueden aumentar considerablemente la actividad de los NDRs enviando correo basura a miles de direcciones de e-mails. Algunas son genuinas pero otras no lo son y éstas últimas se usan para generar mensajes NDR al manipular la dirección del remitente para usar un dominio real. Como resultado, los usuarios de e-mail reciben NDRs de gente a la que nunca han enviado correos. Así, la víctima puede ver como cientos de NDR colapsan su correo electrónico.

Pero ¿cómo funciona el spam NDR? El protocolo SMTP no soporta autenticación de la dirección del remitente y como resultado de ello, los e-mails pueden tener la apariencia de haber sido enviados por cualquier dirección de e-mail válida. Los spammers hace tiempo que saben esto y tienden a utilizar direcciones falsas en el envío de correos basura. Ya que el éxito del spam radica en dirigir el mensaje al mayor número posible de destinatarios, los spammers disponen de listas de direcciones de e-mails amplísimas.
Algunas de estas direcciones puede que no existan o que hayan sido deshabilitadas, por lo que en muchas ocasiones, el servidor de correo que tenga que gestionar las direcciones de e-mail inexistentes puede enviar un informe de error de entrega al remitente falso del mensaje original. Si esta dirección pertenece a un usuario válido, el resultado será que él o ella acabe recibiendo los NDRs. Ya que los spammers envían una gran cantidad de e-mails, es posible que la víctima llegue a recibir en su bandeja de correo miles de NDRs.

Muchos servidores de e-mail bloquean los correos que proceden de nombres de dominios inexistentes. Por lo tanto, los spammers falsifican direcciones de e-mail que tienen un dominio válido para traspasar así esta sencilla comprobación. De esta manera, la víctima que utiliza la dirección de e-mail que ha sido falsificada por el spammer recibirá un gran número de mensajes NDR. Estos mensajes de e-mail son difíciles de bloquear por la dificultad de distinguir entre un verdadero NDR y uno generado por spam.


Es poco probable que los spammers utilicen este método para garantizar la entrega del correo spam, sobre todo cuando la dirección víctima del spam NDR está recibiendo cientos de e-mails en un corto periodo de tiempo. Aparte de esto, la presentación del correo spam se reduce puesto que el mensaje puede ser truncado o aparecer como un archivo adjunto, por lo que el mensaje tiene menos probabilidades de ser leído. 
Ahora bien, los responsables de la red informática de una compañía tienen a su alcance un número relativamente limitado de medidas preventivas para hacer frente al spam NDR. Una de las acciones más rotundas y drásticas es desactivar la bandeja de entrada que da cabida a todos los correos que no coinciden con una cuenta de correo concreta. Cuando se desactiva esta opción, a menos que el spammer falsee la dirección de e-mail de un usuario, el servidor de e-mail no aceptará Informes de Error de Entrega con direcciones de e-mail que no existan en dicho servidor.

En el caso de los responsables de un servidor de e-mail que está causando spam NDR, es recomendable configurar el servidor para rechazar durante la transmisión SMTP en lugar de devolver e-mails que no han podido ser entregados. Varios servidores de correo como Microsoft Exchange, postfix, Sendmail o Qmail incorporan parches para ayudar a un menor esparcimiento.
Está claro que a no ser que se tomen medidas, los servidores de correo pueden verse inundados con e-mails inservibles que minan los recursos del sistema informático y afectan a su rendimiento. La mejor manera de frenar el spam NDR es utilizar un software anti-spam que pueda identificar los mensajes de spam de entre los informes de error de entrega y borrarlos del servidor.

Leer la biografía del autor  Ocultar la biografía del autor