Detectar el envío de SPAM en nuestro VPS

Publicado el en la categoría Spam, VPS

Como administradores de nuestro VPS, debemos revisar periódicamente ciertos parámetros del servidor para comprobar que todo funciona correctamente. Uno de los problemas que podemos tener en nuestro servidor es el del envío de SPAM, ya que prácticamente pasa desapercibido. Un buen método para detectar el envío de SPAM en nuestro VPS es vigilar regularmente la cola de envío. Hoy veremos como detectar el envío de SPAM en nuestro VPS.

Conociendo a nuestro servidor de correo

Por defecto, los servidores VPS de Evidalia están configurados para trabajar con Qmail. Este artículo muestra comandos para esta aplicación de correo, pero queremos recordaros que como administradores, podéis instalar el software con el que queráis trabajar, si Qmail no cubre vuestras necesidades.

Que hacer para detectar el envío de SPAM en nuestro VPS

Lo primero será acceder a la consola SSH de nuestro VPS. Una vez tenemos acceso root a nuestro sistema, deberemos teclear:

/var/qmail/bin/qmail-qstat

un ejemplo de salida de este comando sería:

messages in queue: 6
 messages in queue but not yet preprocessed: 0

Mediante este comando, lo que hacemos es revisar la cola de Qmail, mostrándonos cuantos mensajes hay en este momento en cola. Dependiendo de la actividad de nuestro servidor, un número elevado puede ser signo de que podemos estar enviando SPAM. Para verificar esto, lo que haremos será listar los emails que están en la cola. Así podremos ver las direcciones y determinar si estamos ante un problema. Desde el terminal, teclearemos:

/var/qmail/bin/qmail-qread

Nos aparecerá la dirección de email del emisor y la o las direcciones del receptor. Cuantas de emial con caracteres extraños, pueden ser signo de alarma. Si detectamos alguna dirección sospechosa, como en el siguiente ejemplo:

27 Oct 2016 10:46:55 GMT  #150209569  798  <cuenta@dominio.com>
 remote    cuenta@sdfsdflkjas.br

Copiaremos el código que aparece a continuzción de la almohadilla (#) y que en el anterior ejemplo os hemos remarcado en negrita. A continuación escribiremos locate y escribiremos dicho código, tal como os mostramos:

locate 150208731

Obteniendo como resultado varias líneas:

/var/qmail/queue/info/9/150208731
/var/qmail/queue/mess/9/150208731
/var/qmail/queue/remote/9/150208731

Estas líneas apuntan a diversas carpetas donde se guarda información relativa al email. La que nos interesa es la carpeta mess, así es que teclearemos lo siguiente para ver la cabecera de dicho email:

cat /var/qmail/queue/mess/9/150208731

Al analizar la cabecera del email, podemos obtener 2 resultados. Si el email ha sido enviado desde un cliente de correo, obtendremos un mensaje similar a este:

Received: (qmail 7313 invoked from network); 27 Oct 2016 09:21:34 +0200

Mientras que si el envío de emails se realiza desde una script de nuestra página web o cms, el resultado será similar a este:

Received: (qmail 7313 invoked by uid 10021);  27 Oct 2016 09:21:34 +0200

Dependiendo de un caso u otro deberemos actuar de diferente forma. En el próximo articulo os mostraremos como bloquear al causante del envío de SPAM.

Facebooktwittergoogle_plus