Spam desde tu propia cuenta de correo: SPAM NDR

ScreenShot049.jpg La situación es la siguiente: de un día para otro empiezas a recibir en tu correo notificaciones de e-mails que no se han podido entregar. Los emails llevan títulos del estilo “Mail delivery failed: returning message to sender” y suelen ser enviados por robots del tipo postmaster@[dominio].com o mailer daemon del que hablamos hace tiempo en blogoff.

Hasta aquí todo parece normal: un correo que se envía y que te devuelven porque la cuenta de correo está llena o no se ha encontrado. El problema está en que tú nunca has enviado esos correos y lo que ves es algo del tipo:

No se ha podido enviar este correo

FROM: tudireccióndecorreo
TO: una dirección cualquiera

[texto]

¿Qué es lo primero que pensarías? Pues lo que pensó la persona que me llamó para solucionar este problema: que alguien ha entrado en tu cuenta de correo y la está usando para enviar mensajes de spam. Nada más lejos de la realidad.

Esta técnica se conoce como SPAM NDR (non delivery report) y sinceramente pocas veces he visto un ataque tan brutal como el que sufrió esta persona. La empresa de seguridad Symantec alertó este verano de oleadas de este tipo ataques en donde se modifican los campos del mail para que aparezca tu dirección en el FROM o DE, aunque esto sea falso. El hecho de que aparezca la dirección ahí no sólo permite saltar muchos filtros de spam sino que al usuario, lo del mail que no se ha podido entregar le suena más familiar y procede a su apertura.

Por lo tanto, si recibes uno de estos ataques lo importante es dejar claro que nadie ha accedido a tu cuenta para enviarlos, lo que ven tus ojos es falso.

¿Cómo solucionarlo? El tema no parece fácil desgraciadamente. Para el caso de empresas que lo están sufriendo en sus servidores, en diversas páginas se recomienda el uso del software de GFI que parece haber desarrollado algunos filtros potentes para identificar este tipo de correo no deseado:

http://www.gfi.com/news/es/ndrspam.htm

También Microsoft publicó una nota al respecto para usuarios de Microsoft Exchange Server:

http://support.microsoft.com/?kbid=294757

Si tu correo lo estás recibiendo por ejemplo en Gmail puedes jugar con los filtros para intentar separar estos e-mails del resto. Vete a la opción de crear filtro en la parte superior:

En el filtro entrará tu habilidad para ver el denominador común de estos e-mails. Por ejemplo puedes poner que te filtre los correos que tengan en el asunto “Mail delivery failed”:

ScreenShot046.jpg

O aquellas que provengan de postmaster@* . Como te imaginarás la dificultad está en separar los correos NDR de los que realmente son correos que no se han podido entregar. Por ello cuando le des al siguiente paso en la opción del filtro tienes dos opciones:

  • Que paguen justos por pecadores, es decir, ordenarle al filtro que borre todos los mails con esas características:ScreenShot047.jpg
  • Juntar todos los mails así bajo una etiqueta como posible NDR, que salte la bandeja de entrada y revisarlos de vez en cuando.ScreenShot048.jpg

En mi caso por ejemplo los e-mails que me son devueltos suponen un 0.01 % de los que envío así que de borrarlos no perdería mucha información pero desde luego la mejor solución es hablar con el servidor y tener un buen software anti-spam actualizado que consiga enfrentarse a este tipo de ataques.

Publicado por

Juan García

Divulgador tecnológico y formador. Creo en la tecnología como herramienta para formar ciudadanos más libres y felices. + Sobre mí en http://about.me/juangarciaalvarezdetoledo

2 comentarios sobre “Spam desde tu propia cuenta de correo: SPAM NDR”

  1. A mi me ha pasado, con el agravante de que he llegado a sospechar que realmente se ha llegado a mandar spam poniendo mi dirección en el FROM. Alguna vez me ha llegado algún correo solicitando la “baja de la lista”. Afortunadamente no han sido demasiadas las ocasiones y supongo que es el precio a pagar por tener una dirección de correo tan súmamente simple. ¡Un saludo!

  2. A mi también me sucedió, y tuvo que ser un envío bastante masivo, porque recibí alrededor de 500 mensajes de “Undelivered Mail” con mi dirección en el campo FROM.
    Como desarrollador soy consciente de que el campo FROM y el REPLY-TO se pueden modificar a voluntad, así que sospecho que lo que están haciendo los spammers es elegir al azar una dirección de correo de sus bases de datos para colocarlas como remitentes de sus envíos, y esa vez me tocó a mi.

    Lo que realmente me preocupó es que alguien denunciase mi dirección de correo como spammer y me metiesen en cualquier “lista negra”, con lo que mis mensajes entrarían automáticamente a la carpeta de spam de cualquiera que usase un filtro decente. Por suerte parece que no sucedió así.
    Pero por si las moscas aun guardo todos los mensajes de “Undelivered Mail” por si tengo problemas.
    Un saludo!

Los comentarios están cerrados.