Hace unos meses configuré un servidor de correo de prueba en Amazon AWS, todos legítimos. Usé una nueva dirección en mi dominio catchall (algo similar a, pero no exactamente, [email protected])
.
Ahora he empezado a recibir correo no deseado en esa misma dirección. Es altamente improbable que un spammer haya "adivinado" esa dirección. ¿Cómo podría el spammer haber obtenido esa dirección?
Tenga en cuenta que utilicé la máquina virtual estándar de Ubuntu Server 12.04 LTS provista por Amazon. El servidor estaba en un grupo de seguridad de prueba especial (como un firewall de hardware en Amazon Web Services) que permite el acceso mundial a los puertos 25 (SMTP heredados), 80, 443, 465 (SSL SMTP) y 587 (SMTP), pero no a otros. Específicamente, los puertos 22 (SSH), 993 (SSL IMAP) y todo lo demás son accesibles solo desde la dirección IP de nuestra oficina .
Además, la computadora que se usa para enviar y recibir desde el servidor de prueba es una máquina Kubunu Linux, por lo que dudo que la máquina en sí esté infectada con malware. Todo el correo fue enviado y recibido en Thunderbird, por lo que un complemento de navegador comprometido también parece poco probable.
Supongo que el correo podría haber sido interceptado en tránsito. Aunque la mayoría de las pruebas se realizaron a través de SSL, hubo al menos dos correos electrónicos descargados a través de IMAP en el puerto 143 sin SSL. ¿Es esta la superficie de ataque más probable? ¿Estoy ignorando otras posibles superficies de ataque?
EDITAR: Agregar información para responder a los comentarios.
-
El servidor (en realidad, la máquina virtual que se ejecuta en la nube AWS de Amazon) se creó, se probó y se retiró del servicio todo en un solo día laboral, a partir de imágenes (dispositivos virtuales) de Amazon. Me parece altamente improbable que la imagen del servidor se haya comprometido ya que uso la misma imagen en otros servidores, y es una de las imágenes de servidor Amazon más comunes (Ubuntu Server 12.04 de 64 bits).
-
La dirección de correo electrónico nunca se expuso a través de Apache. De hecho, no recuerdo haber instalado Apache en la caja, aunque es posible que lo haya hecho. En cualquier caso, ciertamente no hice no ninguna configuración de Apache, como configurar la dirección de correo electrónico para "contact admin".
-
El único correo electrónico enviado a través de la máquina fueron unos pocos correos electrónicos de prueba a la cuenta en cuestión desde mi cuenta de correo electrónico habitual en Thunderbird, y algunas respuestas a esos correos electrónicos (también en Thunderbird). Los correos se enviaron y recibieron a través de conexiones con seguridad SSL y no seguras (SMTP e IMAP).