El anti-spam en hosting compartido, nunca llueve al gusto de todos…

Muchos usuarios saben que el spam ya ha llegado a ser más de un 95% de todo el tráfico de correo existente en Internet, el último ejercicio se cerró con una media de 12.500 correos de spam recibidos al mes por cada usuario, pero no asumen que por muy buenas políticas que tengan configuradas en los filtros y a pesar de las reglas de anti-spam que tengan configuradas en sus servidores, los que se dedican a enviar spam son unos auténticos profesionales y mejoran día a día, el contenido, la personalización y la configuración del origen de sus envíos, para conseguir traspasar los sistemas, las reglas y los filtros configurados para proteger a los usuarios, utilizan técnicas cada vez más sofisticadas para evadirlos, incluyendo el uso grandes redes de “boots” o “zoombies” para enviarlos desde miles de puntos simultaneamente.

Por su parte , los proveedores de hosting e internet tienen que dedicar cada vez más y más recursos para evitarlos, aunque la mayoría utiliza metodos gratuitos para combatir el problema, muchos están empezando a incorporar en su plataforma de correo nuevos métodos mucho más seguros y eficaces para controlar “la plaga”, pero por su puesto a costa de fuertes inversiones e indudables molestias para los usuarios.

Los sistemas de antispam se pueden dividir en dos grandes grupos, los que analizan el contenido de cada correo y los que analizan la reputación y configuración del servidor (IP) que hace el envío, hay proveedores que utilizan una mezcla de los dos para obtener mejores resultados.

El anti-spam que basa principalmente sus resultados en el análisis del contenido del correo, es sin duda por excelencia SpamAssassin, un servicio funcionando cada servidor que filtra cada correo que se recibe, lo analiza y en base a unas reglas establecidas le asigna una puntuación. En base a esa puntuación y de acuerdo a la configuración de cada cliente, el correo es marcado con un “***spam***” en la cabecera, para que dependiendo de la configuración del usuario sea filtrado, entregado o borrado directamente.

El resultado real es que este tipo de análisis sólo elimina un de un 20% a un 30% del spam, pasan todos los correos sin limitación de servidores de entrega y en base a unas reglas establecidas se marcan o eliminan, el usuario recibe casi todos sus correos de otros sitios, pero recibe una gran cantidad de SPAM y con un gran pleligro de recibir links a sitios de phising, troyanos o virus. Otro problema que origina este tipo de filtro es que cuanto más se van “afinando” las reglas más posibilidades hay correos buenos por su contenido sean marcados como spam sin serlo (falsos positivos).

El otro sistema, mucho más eficaz (y caro) utiliza una técnica basada en el análisis de procedencia, analiza el IP desde donde se ha enviado el correo, comprueba que el servidor que lo envía esté correctamente configurado, que cumpla todas las normas RCF y además analiza la reputación del mismo, si pasa esas pruebas el servidor lo acepta, en caso contrario rechaza directamente la conexión con el servidor de origen. Estos sistemas consultan en simultáneo las principales bases de datos de RBL’s, comprueban que los IP’s estén correctamente asignados, configurados y tengan un hostname correcto. Con este sistema se eliminan directamente todo el tráfico que no provienen de verdaderos servidores de correo, como sucede con los procedentes de redes de boots u ordenadores “zombis” y de máquinas infectadas con troyanos.

Una ventaja adicional de este método es que como estos sistemas no hacen un filtrado por el contenido de los correos, no se corre el riesgo de que emails que realmente son buenos para el cliente, se marquen como spam por contiener palabras o imágenes que activan los filtros tipo spamassassin.

Con un anti-spam perimetral basado en análisis de IP se filtra el 95% del spam, pero al tener un control riguroso sobre la configuración y reputación del servidor que envía,  también se filtran correos que para el cliente pueden ser “buenos”, pero el análisis técnico indica que proceden de servidores mal configurados o que envian spam, virus y troyanos de forma habitual. El resultado es que el cliente no recibe prácticamente nada de spam ni correos con links a páginas de phising o troyanos, pero tambien se filtran los correos supuestamente “correctos” pero que proceden de servidores mal configurados o con mala reputación, debido a que el filtrado se hace antes de que el correo entre en el servidor, no se pueden configurar correos individuales en las “listas blancas” personales y la única posibilidad que existe para volver a recibir correos de un servidor o dominio bloqueado es que su administrador de sistemas lo configure correctamente.

Pero como dice el título de este artículo,  nunca llueve a gusto de todos y es realmente  una decisión difícil que método aplicar, si se aplica un metodo “suave” basado en spamassassin los usuarios se quejan que reciben mucho spam o que si suben los filtros, muchos de los correos buenos les llegan marcados como spam, pero si se aplica un filtro perimetral extricto basado en reputación y configuracion del servidor de envío, los usuarios notaran que el spam se ha reducido en un 90% pero algunos se quejarán de que no reciben correos desde dominios de los que  antes de aplicar el antispam perimetral, si recibian. Y por supuesto les cuesta o no quieren entender que el problema está en el servidor de origen y que mientras su administrador no lo resuelva no podrán recibir correos del mismo…

Personalmente prefiero optar  por aplicar la segunda opción e incluir un buen sistema de filtro perimetral, a pesar de que algunos clientes se quejen, considero la calidad del servicio y la seguridad de la mayoría está antes que el número de clientes de la empresa, es mejor perder unos clientes a cambio de que el resto tenga una mejor calidad de servicio y sobre todo, mucha más seguridad en los contenidos del correo que reciben.

Hay que ser conscientes de que todavía hay administradores que por dejadez o ignorancia no configuran su servidor de correo electrónico correctamente, ignorando las buenas prácticas y las normas existentes, pero creo que es importante ser rígido y mantenener las normas de filtrado, aunque supongan el rechazar correos importantes para algunos usuarios, ya que el mantenerlas, no sólo ayudan en la identificación y eliminación del spam, sino que el hacerlo también sirve para garantizar que en el futuro todos los servidores las cumplan y se pueda identificar y eliminar el spam.

Además, cuando un cliente necesita una configuración especial o su empresa tienen una dependencia absoluta del correo electrónico, quiere decir que el hosting compartido no es para ellos, necesitan tener un servidor virtual HSaaS propio, indudablemente es un servicio más caro, pero tambien tiene que asumir que la estabilidad de su empresa no puede depender de un servicio que mensualmente le cueste menos que su BlackBerry, su plan de telefono movil o que la televisión por cable de su casa.