Para hacer una presentación de este tema, hemos preferido traducir un contenido que publica una organización de proteción contra el spam (mail-abuse.org) y que está en su página de Internet.

Protección contra Third Party Mail Relay (TPMR)

Un TPMR ocurre cuando un servidor de correo electrónico procesa un mensaje de correo cuando ni el remitente ni el receptor es un usuario local. Esto se explica mejor en la figura de abajo. En este ejemplo, tanto el remitente como el receptor están fuera del dominio local. El servidor de correo es una "tercera parte", completamente ajena a esta transacción, y el mensaje no tendría ninguna razón para haber transitado por este servidor.

TPMR tiene algunos usos legales: los administradores de redes los han utilizado para hacer el "debug" de la conectividad del correo electrónico. También fue utilizado para desviar problemas de correo conocidos. A pesar de que su uso es poco frecuente, ha sido eficaz en esas ocasiones.

En estos días, sin embargo, los posibles usos legítimos de mail relay están largamente superados por los secuestros de correo que se producen. Un secuestro ocurre cuando cantidades masivas de correo son disparados desde un servidor. La mayoría de los secuestros se realizan por spammers tratando de enviar sus contenidos a través de la Internet.

En el pasado, mail relay era una herramienta útil. Ahora, gracias a los spammers, es una amenaza significativa contra las operaciones de Internet.


¿Porque los spammers usan TPMR?

Hay varias razones por las que los spammers usan TPMR.

1. Evitar Filtros. A medida que la Internet se inunda de spam, muchos administradores de redes comenzaron a filtrar los mensajes que salen de las locaciones fijas desde donde se suele enviar correo indeseado, usualmente llamadas "spamhaus". Los spammers tienen que desarrollar nuevas técnicas para evitar este tipo de bloqueos. La que más prefieren actualmente es secuestrar el servidor de una tercera parte, e ir cambiando de fuente a medida que los consiguen filtrar.

2. Aumentar volumen de envío. Los spammers usan TPMR para aumentar el número de mensajes que pueden enviar. Una computadora solitaria, desde el fondo de una línea telefónica, puede enviar una cantidad limitada de mensajes. Sin embargo, al hacerse cargo de un servidor de alta potencia con una conexión súper rápida a Internet, pueden bombardear cientos de veces más de información. Si además, utilizan varios servidores en paralelo, pueden virtualmente inundar la red con cantidades extraordinarias de spam. El credo del spammer parece ser: "¿Por qué pagar por redes y recursos informáticos que son caros, si puedo robar los suyos?".

3. Lograr anonimato. Usando TPMR, los spammers logran ocultar su verdadera identidad. Si el spammer envía correo basura directamente, los administradores de redes pueden detectar esa conexión fácilmente y resolver el problema. Incluso cuando el spammer no puede ocultarse completamente, pueden desviar gran parte de las quejas que recibirían de los consumidores hacia los administradores del sitio secuestrado. De hecho, muchos spammers falsifican los encabezados de sus propias direcciones de correo electrónico para evitar lidiar con el público que se queja.

Los spammers secuestran los servidores de correo porque les aumenta sensiblemente su capacidad de envío y pueden hacerlo sin costo. Por supuesto que están robando -y posiblemente perjudicando- los recursos del servidor invadido para hacerlo. Esto no es problema para el spammer: todo el sistema del spam se basa en pasarle los costos a los demás.


¿Por qué evitar el TPMR?

Si su servidor es vulnerable al TPMR, puede actuar ahora para eliminar el problema. No espere a que un spammer secuestre su servidor para precipitar una crisis. Aquí hay algunas razones de porqué:

1. Su servicio de correo puede colapsar o ser dañado. Los spammers le están robando recursos cuando hacen TPMR. Están utilizando la capacidad de su red, espacio de discos y poder de proceso. Algunas veces roban tanto que todo lo demás tiene que parar o, a veces, colapsa. Esto se suele definir como ataques que hacen rehusar el servicio (denial of service attacks) porque el servicio del que uno depende (el correo electrónico, por ejemplo) cesa de funcionar de pronto. Se puede perder información valiosa y hasta colapsar todo el sistema.

2. Lo que viene luego del colapso es todavía peor. Una vez restablecido el servicio luego de un ataque, hay que gastar importantes cantidades de horas-hombre no planificadas para recuperarse de la crisis. Esto implica limpiar los spools de correo, ubicar y restaurar los mensajes legítimos que se pueda recuperar y, finalmente, implementar las defensas que hubiesen prevenido el ataque desde el principio. Será necesario explicar además a todos los usuarios porqué el servicio quedó fuera de línea y ayudarlos a localizar los mensajes perdidos. Lo peor de todo es que, además, tendrá que pasar semanas tratando de aplacar la ira de las víctimas del spam, explicándoles que su empresa nada tenía que ver con el problema.

3. Perdida de reputación y credibilidad. Cuando se cae víctima de un secuestro se puede dilapidar el buen nombre de una organización que, seguramente, lo ha construido con años de trabajo. Es peor el caso para una empresa proveedora de servicios de Internet, que en un solo ataque puede destruir completamente su credibilidad como empresa tecnológica. Cuando cientos de correos electrónicos salen encabezados con su nombre, es como hacer publicidad diciendo "Nosotros no manejamos muy bien las redes o sistemas informáticos muy bien".

4. Puede ser segregado. El abuso del correo electrónico es combatido por un creciente número de organizaciones bloqueando sitios que estuvieron involucrados en acciones abusivas, incluyendo sitios que fueron secuestrados. Por ejemplo, el MAPS Realtime Blackhole List publica una lista usada por muchas organizaciones en la red. Si su servidor es secuestrado, se puede encontrar segregado de grandes porciones de la Internet. No les importará si sus intenciones eran buenas, malas o indiferentes. Todo lo que les importa es que ese correo basura está saliendo de su servidor, y usted no ha tomado medidas suficientes para prevenirlo.

5. Va a suceder. Su empresa no está a salvo por el mero hecho de que no haya ocurrido. Los spammers están utilizando herramientas automáticas para buscar relays abiertos. De hecho, es tan fácil de hacer que le indicamos una página que le permitirá probar la vulnerabilidad de su propio servidor de correo contra ataques. Esto no es muy diferente de lo que se necesita para hacer un secuestro. No sería demasiado difícil escribir un programa que lo haga, y sólo es una cuestión de tiempo hasta que un spammer encuentre su sitio si es que está vulnerable.

6. Es correcto hacerlo. Si quiere ser un miembro responsable de la comunidad de Internet, tiene que hacer su parte para combatir el problema del correo no deseado. Los consumidores de sus productos y sus accionistas van a estar pronto hastiados del problema y se lo agradecerán de un modo u otro.


Recomendaciones Técnicas

Para conseguir una buena orientación técnicas, le proponemos que haga el vínculo con la siguiente página de Microsoft, que le permitirá diagnosticar su equipo y protegerlo del TPMR.