Supongamos la siguiente configuración;
- Un servidor de alojamiento compartido, que comparte una única IP con muchos sitios web pequeños.
- Un subconjunto del conjunto de sitios web está enviando correos electrónicos. Algunos de esos correos electrónicos pueden ser de su propio dominio.
- Otro subconjunto del conjunto de sitios web está alojando su correo en otra plataforma.
- Un tercer subconjunto que host es vulnerable a una ejecución remota de código remota.
- En el diagrama de Venn para los subconjuntos (2), (3), (4), se supone que cualquier parte puede ser no vacía.
Hay problemas con que los spammers sean cada vez más competentes para eludir las medidas de seguridad instaladas. Con el acceso completo a la ejecución del código, un pirata informático puede eludir la pila de correo de Linux habitual y, en su lugar, implementar su propio servidor de correo electrónico, comunicándose directamente a través de un código de socket a servidores de correo externos y enviando una gran cantidad de spam.
Un servidor es una máquina bastante poderosa, por lo que este código de itinerancia libre puede enviar cantidades suficientes de spam para que entren en el radar de los Big Boys, como Microsoft y Google. Estas compañías tienen sus propios sistemas patentados ofuscados que tienden a bloquearse en función de la propiedad intelectual. Sé que esto es algo estúpido: IP no es igual a una máquina única. Obviamente, un pequeño proveedor de hosting puede hacer poco por estas grandes políticas corporativas, y usted tampoco puede ignorarlas; muchos consumidores (por ejemplo, los usuarios de los sitios web de la plataforma) tendrán direcciones de correo electrónico en las plataformas de los grandes proveedores.
También hay un elemento de secreto involucrado; las grandes empresas están tratando activamente de luchar contra las redes de bots de spammer, por lo que proporcionan ninguna información mínima o mínima sobre cualquier bloqueo para que los spammers no puedan usar esta información. Al enviar correo no deseado "firmado" es posible que hayan identificado la botnet en particular y hayan marcado el servidor de alojamiento como una herramienta sospechosa de ciberdelincuencia. No es del todo irrazonable, porque en verdad para eso se está usando el servidor en ese momento.
El agotamiento de la dirección IPv4 significa que el alojamiento no compartido no es más que una opción para estos sitios web pequeños. Es financieramente simplemente no alcanzable.
Nota; asuma que siempre habrá algunos sitios vulnerables, eso es una debilidad intrínseca de una plataforma compartida, no todos los clientes tendrán su código igualmente seguro.
Al ser hackeado, el cliente es, por supuesto, notificado. El procedimiento estándar es desconectar el sitio y restablecer una versión limpia, lo que requiere que los desarrolladores solucionen los problemas de seguridad antes de eso.
Sin embargo, sigue habiendo un problema bastante grande; Un pequeño error para uno de cada muchos sitios web cerrará efectivamente el correo electrónico para todo el servidor, y volver a hacer copias de seguridad de todo puede demorar días en curarse en lugar de evitar este tipo de problema. A medida que los sitios se vuelven más viejos, más sitios comienzan a usar la misma IP, y los spammers son cada vez más competentes, la situación empeorará con el tiempo.
Aunque puedo pensar en algunas soluciones parciales, hasta ahora no han podido mantener el conjunto completo de funciones que estamos proporcionando. Por ejemplo, he intentado bloquear el tráfico saliente a través del puerto de correo electrónico estándar (25) a través del firewall del servidor para todos los usuarios, excepto el usuario de correo electrónico de confianza. Esto evitará totalmente nuestros problemas de spam, ya que esto significa que los sitios web deben usar la pila estándar, y es fácil de configurar cosas como la limitación de velocidad y los filtros de spam para el correo saliente en esta pila estándar.
La pequeña cantidad de spam que aún puede pasar no nos colocaría en estas listas secretas de bloqueo de ip.
Esto funciona para la mayoría de los sitios web; pero no todos. El subconjunto (3) está lanzando una llave en las obras si se combina con (2). Vamos a ilustrar:
Se supone que nuestro host (IP = H) envía un mensaje a un host de microsoft (IP = M), a través de su servidor de correo. Digamos que enviamos desde '[email protected]' a '[email protected]'. Si este mensaje se envía directamente, todo funciona. Sin embargo, cuando se envía a través del servidor de correo, necesita registros DNS. Pero luego intenta enviar a localhost (H), esto falla, porque (H) no tiene el 'contacto' del buzón, que solo debería existir en el host de Microsoft ...
Además, el simple bloqueo de todo eso puede no funcionar para todos los sitios web; algunos pueden tener su propio motor de correo incorporado, aunque si con algún problema podemos superar el problema anterior, no soy imparcial al decirles a estas personas que corrijan su software para usar el programa de correo correcto.
Me interesan las opiniones acerca de las formas inteligentes (er) de resolver este problema.