Este documento provee recomendaciones para prevenir el abuso de correo electrónico en su servidor de cPanel & WHM.
Paso 1: Active _SMTP Restrictions en WHM
Los spammers comúnmente tratan de esquivar las configuraciones de seguridad de correo al interactuar directamente con los servidores remotos de correo. La característica SMTP Restrictions de WHM ayuda a prevenir esto.
Usted puede acceder esta característica desde dos ubicaciones:
- Home >> Server Configuration >> Tweak Settings. Luego, escoja la pestaña Mail, donde encontrará el artículo Restrict outgoing SMTP to root, exim, and mailman.
- Home >> Security Center >> SMTP Restrictions
Activar esta característica restringe los intentos de conexión de correo saliente en el agente de transferencia de correo (MTA, o mail transfer agent), el usuario de sistema mailman
y el usuario root
. Esto fuerza a los usuarios y a los scripts a usar el binario Sendmail de Exim, en vez de acceder el socket directamente.
Importante: Anterior a la versión 11.32, esta característica simplemente bloqueaba cualquier intento de conexión a un servidor de correo remoto. cPanel & WHM 11.32 ahora redirige el intento de conexión saliente al servidor de correo local.
Paso 2: Evite que el usuario de sistema nobody
pueda enviar correo
Evitar que el usuario de sistema nobody
envíe correo a direcciones de remoto evita que los posible abusadores tengan anonimato en el informe de procesos. Esto sucede porque los scripts de PHP y CGI generalmente se ejecutan como nobody
cuando el sistema usa mod_php
. También puede ocurrir cuando suEXEC está desactivado.
Usted puede acceder la configuración Prevent “nobody” from sending mail en Home >> Server Configuration >> Tweak Settings. Podrá encontrarlo bajo la pestaña Mail.
Paso 3: Active suPHP y active suExec o mod_ruid2
Activar suPHP y suEXEC o mod_ruid2
mejorará el informe de procesos a través de su sistema. Este paso le permitirá saber, por todo el sistema, cuáles procesos se ejecutan y quiénes son los usuarios que los ejecutan.
- suPHP — Este módulo de Apache obliga a las aplicaciones de PHP a ejecutarse como el usuario de cuenta de cPanel. Usted puede activar suPHP en Home >> Service Configuration >> Configure PHP and SuExec. Tendrá que activar suPHP para cualquier versión de PHP que usted quiere usar.
- suEXEC — Esta característica de Apache obliga a las aplicaciones de CGI a ejecutarse como el usuario de cuenta de cPanel. Usted puede activar suEXEC en Home >> Service Configuration >> Configure PHP and SuExec.
- mod_ruid2 —
mod_ruid2
es un módulo suEXEC diferente para Apache. Este módulo también obligará a las aplicaciones CGI a ejecutarse como el usuario de cuenta de cPanel. Este módulo trata de proveer algunas mejoras de rendimiento sobre la configuración predeterminada de suEXEC de Apache. Trata de hacer esto al tomar ventaja de algunas de las capacidades de POSIX.1e. En este momento,mod_ruid2
es un módulo personalizado que no se incluye con EasyApache. cPanel tiene planificado incluirmod_ruid2
con EasyApache 3.8.
Paso 4: Configure la configuración de número máximo de correos electrónicos por hora
Usted puede limitar el número de correos electrónicos que un dominio puede enviar por hora. Para hacerlo, usted puede usar la opción Max hourly emails per domain bajo la pestaña Mail en Home >> Server Configuration >> Tweak Settings. Esta configuración define un límite a través del servidor para cada dominio.
Usted puede mejorar esta configuración al especificar valores para un paquete individual (Home >> Packages >> Edit a Package) o para una cuenta individual (Home >> Account Functions >> Modify an Account).
También usted puede especificar valores para dominios individuales al editar el archivo cpuser
en /var/cpanel/users
. Para hacerlo, añada una clave MAX_EMAIL_PER_HOUR-[$domain]
y especifique un valor. Recuerde reemplazar $domain
con el dominio que usted desea limitar. Si usted le realiza algún cambio al archivo cpuser
, asegúrese de correr el script/usr/local/cpanel/scripts/updateuserdomains
Luego de configurar el número máximo de correos electrónicos que un dominio en su sistema puede enviar por hora, usted también tiene que modificar la configuración The percentage of email messages (above the account's hourly maximum) to queue and retry for delivery. Esta función le permite editar el porcentaje de mensajes de correo electrónico, que sobrepasan el máximo por hora de la cuenta, que se deben encolar para tratar de nuevo la entrega. Usted puede editar esta configuración bajo la pestaña Mail en Home >> Server Configuration >> Tweak Settings.
Cuando una cuenta sobrepasa la cantidad máxima de correos electrónicos que se le ha permitido enviar por hora, por predeterminación, cualesquiera mensajes adicionales se enlistan para ser entregados y se envían a la hora siguiente. Esta configuración le permite limitar la cantidad de mensajes que el sistema pondrá en cola.
Ejemplo
Editar la opción Max hourly emails per domain a 500
permitirá que cada uno de los dominios que usted hospeda puedan enviar 500 correos electrónicos por hora. Tomemos como ejemplo que uno de sus dominios usa una lista de correo con 500 miembros. Si este dominio envía un mensaje a la lista de correos, y luego envía 25 correos electrónicos adicionales durante la misma hora, el dominio sobrepasaría el límite impuesto en Max hourly emails per domain. En este escenario, un dominio está enviando un volumen alto de mensajes. Sin embargo, estos mensajes no son spam.
Por esta razón, usted puede especificar un "límite suave". Puede configurarlo con la opción The percentage of email messages (above the account’s hourly maximum) to queue and retry for delivery. Por ejemplo, si configura esta opción a 150
, el dominio puede encolar hasta 250 mensajes para enviarse en la próxima hora. En este escenario, el dominio puede encolar los 25 correos electrónicos adicionales para enviarlos durante la próxima hora.
Paso 5: Configure la protección contra una tasa de fracasos alta
Finalmente, tendrá que configurar un valor para la configuración Percentage of Fail/Defer mails/hour to trigger hourly protection per domain. Usted puede configurar esta opción bajo la pestaña Mail en Home >> Server Configuration >> Tweak Settings.
Esta configuración provee límites de tasa automáticos para cuentas que generan cantidades significativas de intentos de entrega fallidos. Especifique el porcentaje de correo saliente que puede fallar en una hora. Una vez que la cuenta exceda el porcentaje, se evita que la cuenta envíe correo temporeramente.
Una cantidad significativamente alta de intentos fallidos de entrega es un buen indicador de que el usuario posiblemente está enviando correo masivo no deseado. También puede indicar una mala configuración severa de la configuración del usuario para reenvío de correo.
Fuente: cPanel Knowledge