Guia Darth sobre como lidar com e-mails de spam

| EN | ES | DE | FR | IT | NL | HR | HI |

Postado originalmente em Substack em 18 de setembro de 2022

Atualizado aqui em 18 de dezembro de 2024

SPAM - Não LUTE contra ele, mas EVITE-O silenciosamente.

Sim, se você "lutar contra ele" está ficando agressivo e você não chegará a lugar nenhum. Evitar é o caminho, você finge que as táticas de spam deles funcionaram com você, mas na verdade, você simplesmente joga no lixo.

Fui contatado por alguns dos meus leitores e eles me pediram para escrever um guia sobre spam de e-mail, então aqui está! Sim, muitos usuários de Bitcoin, hoje em dia, são atingidos por muito spam e muitos deles não são tão técnicos com essas coisas e podem ficar assustados e não saber o que fazer.

Vou tentar dar algumas dicas e soluções simples, que qualquer usuário normal pode fazer. Eu estava fazendo mais de 20 anos de trabalho como administrador de sistemas, incluindo lidar com spammers nos servidores de e-mail que eu gerenciava todos esses anos.

Nem todo mundo sabe como um sistema de e-mail funciona, o que está por trás de toda a comunicação. Tentarei não entrar muito em detalhes técnicos.

Primeiro, vamos categorizar o spam, temos os seguintes tipos:

a. E-mail comum não solicitado

Você recebe um monte de mensagens com muito lixo. Principalmente porque você sempre usou seu endereço de e-mail normal para se inscrever em muitos sites diferentes e alguns deles vazaram esse endereço para spammers ou simplesmente você caiu em um site de armadilha de spam.

b. E-mail falso

Quando seu endereço de e-mail caiu nas mãos/listas de spammers e é usado como "o remetente" (no campo "de") de e-mails de spam que eles enviam para outras pessoas. Esteja ciente! Também é usado para ver se seu servidor de e-mail está tendo um sistema de "relatório de não entrega" e como lidar com e-mails que têm um endereço "confiável"/"na lista de permissões" no campo "de".

c. E-mail de phishing

Aqui também estão 2 subcategorias: aqueles que sabem seu endereço de e-mail real e aqueles que apenas enviam para vários e-mails possíveis do seu domínio (se você usar um pessoal).

Eles são enviados para enganar você a clicar nos links no corpo da mensagem. Todos parecerão quase como os remetentes reais, geralmente serviços Bitcoin famosos que você possivelmente usou. Eles ainda não sabem, mas tentam descobrir fazendo você clicar neles. Quase todos eles estão redirecionando para endereços de links estranhos ou tentando falsificar o real, alterando/omitendo uma letra, coisas como esta.

d. Spam de inundação

Quando seu servidor está literalmente sobrecarregado por uma enorme quantidade de mensagens enviadas para seu servidor e está literalmente travado. Neste momento você está bem ferrado, você é atacado diretamente, alguém realmente quer seu servidor fora do ar.

O que fazer?

Então o que um usuário simples pode fazer para se proteger de ataques de spam, especialmente quando está lidando com sites de Bitcoin, exchanges, etc.?

Existem dois níveis para responder a esta pergunta: básico e avançado.

PASSOS BÁSICOS (que qualquer usuário regular pode fazer):

Use o método HashCash

Este é um método muito simples para redirecionar e-mails caso você tenha um site pessoal ou comercial e queira ser contatado por e-mail.

É um serviço pago (para aqueles que querem enviar mensagens de e-mail e apenas uma taxa única para você quando você configura.

Basta ir para https://yalls.org/hashcash/ e insira um nome e seu endereço de e-mail de destino, então pague com bitcoin pela Lightning Network uma pequena taxa de configuração.

Você receberá um link exclusivo que pode ser publicado em seu site ou onde quer que você queira ser contatado por e-mail. Outros abrirão esse link, inserirão a mensagem e também deverão pagar uma taxa. Uma vez pago, a mensagem é encaminhada para seu endereço de e-mail privado, que não é revelado ao remetente.

.... aaaand PRONTO, você acabou de parar os spammers.

Use aliases

Quando você tiver que usar um endereço de e-mail para registrar/assinar em um site ou serviço, SEMPRE use um alias.

Um alias é como um endereço de e-mail secundário vinculado à sua caixa de correio principal. É como uma carteira Bitcoin, com vários endereços BTC/UTXOs. Então use um alias específico para cada site/serviço.

Exemplo: para criar uma conta em uma exchange BTC, use exchange-x-y-z@seu-nome-de-dominio.com.

Sim, você dirá, mas eu uso gmail/hotmail etc... Pare de usar esses serviços de e-mail hospedados publicamente. Use-os SOMENTE como coletores de lixo ou casos específicos quando você não quiser revelar seu nome de domínio pessoal, evitar identidade ou coisas assim. Esses serviços de domínio público os usam apenas para coisas PÚBLICAS, para manter suas coisas privadas, privadas.

Muitos desses serviços de domínio público também oferecem a criação de alias, alguns deles são serviços extras pagos.

Usar seu próprio nome de domínio de e-mail lhe dá mais flexibilidade para controlar todos esses aliases, mas tenha cuidado também ONDE você o usa, nem todo lugar é bom para usar seu domínio de e-mail pessoal.

Outra maneira é usar serviços dedicados que gerenciam aliases específicos e redirecionam todos os e-mails para seu endereço de e-mail real. Há um monte deles, talvez mais tarde, eu adicione uma lista deles aqui. Basta pesquisar na internet "alias de redirecionamento de e-mail" e você os encontrará. Muitos são gratuitos, mas esteja ciente de que alguns também podem ser serviços de coleta de spam.

Então, organize sua caixa de correio, com regras, que verifiquem o campo "Para", contendo seu alias "especial" e redirecione essas mensagens para subpastas específicas que você criar em sua caixa de entrada principal. Dessa forma, você sempre sabe de QUEM e para QUAL alias foi enviado um spam.

Se você vir que em um alias você começa a receber spams, você tem duas opções simples:

Nenhuma imagem no cliente de e-mail

Seja usando um cliente de e-mail para desktop ou celular, configure seu software cliente para NÃO baixar as imagens anexadas a uma mensagem.

Sim, há uma opção como essa em qualquer cliente de e-mail decente. E protegerá você de baixar qualquer imagem de merda anexada, que pode ser escondida e pode ser usada como um algoritmo de rastreamento. Normalmente, eles colocam imagens em servidores dedicados de onde são baixadas e cada download é um rastreamento do seu IP, dispositivo, sistema operacional, software etc.

Além disso, essas imagens escondem o link real por trás, o link do malware, que você clicará sem saber e... voilà, você será infectado ou rastreado.

Você pode clicar manualmente para baixar imagens de um remetente de e-mail confiável, mas não automaticamente por padrão para todos.

Políticas de senha

Não use a mesma senha em todos os sites/serviços que você usa!

Esta é uma das regras mais importantes e simples.

Uma maneira simples de gerenciar várias senhas (eu sei que é difícil lembrar de todas elas) é usar um gerenciador de senhas. KeePass ou BitWarden são realmente bons e podem ser usados ​​totalmente offline, em vários dispositivos. Esses gerenciadores de senhas também têm um gerador de senhas integrado, fácil de criar novas senhas aleatórias. Por que é bom ter aleatório? Porque você não pode ser "atacado mentalmente" e vazar de si mesmo aquelas senhas usuais que você mesmo gera.

Gerenciadores de senhas online NÃO são confiáveis! Qualquer coisa que esteja armazenada no servidor de outra pessoa NÃO é sua!

Se você ainda quiser salvar uma senha de login no seu navegador regular, pelo menos vá para as configurações e defina uma senha mestra forte para abrir esse cofre, temporariamente. Além disso, configure seu navegador para NÃO salvar nenhum histórico, cookies etc. em uma sessão, então, quando você fechar o aplicativo, toda a merda restante será apagada, então todos os pequenos cookies possíveis que ainda podem ler essas senhas armazenadas desaparecem na reinicialização. Mas nem sempre funciona 100%. Então armazene apenas aqueles que você mais usou e que não são tão importantes.

Limite sua presença online

Sim, por que você tem que assinar todas as porcarias disponíveis online?

Limite sua presença de dar suas informações (mesmo que sejam falsas/nym) para porcarias inúteis que você encontra online.

Pare de participar de quizzes, votações, petições, enquetes, questionários inúteis. Ou pelo menos selecione-os e tente usar mais aqueles sem dar um endereço de e-mail. Se algo for promovido como "coisas grátis", basta enviar seu e-mail aqui... isso significa em quase todos os casos: coleta de dados do usuário. Coisas grátis NUNCA são grátis.

PASSOS AVANÇADOS (para usuários com mais algumas habilidades e conhecimentos técnicos)

Use seu próprio domínio hospedado e/ou servidor de e-mail

Isso é bem avançado, mas com algum aprendizado básico você pode fazer isso mesmo se não for um administrador de sistemas.

Opção A - seu domínio, mas não seu servidor

Você só pode comprar seu próprio domínio.com e hospedar o servidor de e-mail em um VPS, existem muitos serviços baratos como esse e com poucos cliques simples você tem seu próprio servidor de e-mail pronto.

Sim, isso será gerenciado por outra pessoa, mas você pode controlar pelo menos o software e a configuração, exatamente como você precisa.

Existem muitas soluções de e-mail disponíveis, não vou nomeá-las aqui, escolha aquela que mais se adequa ao seu uso. O importante é que você tenha mais flexibilidade para gerenciar suas próprias caixas de correio, aliases, acesso, e-mail privado e criptografado, etc.

Opção B - seu domínio, seu servidor

Esta requer mais habilidades técnicas para instalar, gerenciar e manter a segurança de um servidor real para seu domínio e sistema de e-mail.

Com esta, você pode até ser um provedor de e-mail para sua família e amigos.

Um servidor de e-mail simples como esse pode ser até mesmo um NAS (Network Area Storage) como Qnap ou Synology. Dê uma olhada nos pacotes de aplicativos deles, eles têm uma solução simples para um servidor de e-mail de usuário doméstico. Por exemplo, o Xeams é muito fácil de instalar e configurar com um QNAP NAS. Existem muitos outros aplicativos de servidor de e-mail por aí.

Se você quer um sistema de e-mail mais robusto e avançado, então instale um em uma máquina Linux, com software específico como servidor de e-mail. Novamente, há muitos para usar, alguns mais avançados do que outros. Muitos são gratuitos para usar.

Para máquinas Windows, eu recomendaria um muito simples MailEnable. Em apenas alguns cliques você tem um servidor de e-mail em sua máquina Windows regular, com webmail e também acesso de vários dispositivos e clientes.

Sim, esta opção (seu domínio / seu servidor) requer mais algumas habilidades em rede, sistema operacional, como o sistema de e-mail funciona, gerenciamento de domínio, segurança, firewalls etc.

Mas não tenha medo! Leia mais documentação e você poderá ter seu próprio servidor, mesmo em sua casa, com sua conexão regular de internet. Sim, com passos simples de segurança você pode ter um servidor seguro, não há nada com que se preocupar.

Detecte o remetente real

Quando você quer criar uma lista de spam para colocar todos os remetentes específicos na lista negra, você precisa descobrir primeiro QUEM o enviou. Não se deixe enganar pelo que você vê no seu cliente de e-mail como campo "de". Pode ser qualquer coisa que contenha um @ ali.

Então abra esse item de mensagem e vá para propriedades da mensagem. Ele abrirá o painel de informações do cabeçalho do e-mail.

Lá você pode ver a comunicação REAL que acontece:

Então anote todos esses detalhes e/ou faça uma lista simples, um texto ou um csv para que depois você possa importá-los todos para os filtros de política antispam do seu servidor.

Organize suas políticas de spam

Agora é hora de se livrar desses spams inúteis.

Então, dependendo do sistema que você usa, você terá que criar listas negras e brancas específicas.

Também é bom ter um sistema NDR. NDR = resposta de não entrega.

Existem várias maneiras de usar NDRs:

Criar listas de permissões. Sim, é uma boa prática adicionar os domínios e outros IPs de servidores nos quais você confia para receber e-mails, em uma lista de permissões.

Além disso, alguns softwares de servidores de e-mail vêm diretamente com filtros de listas de spam online, como Barracuda, SpamHaus, SORBS etc., portanto, usar listas de permissões evitará que esses filtros de spam rejeitem e-mails válidos a serem recebidos.

Configure seu servidor de e-mail

Sim, é muito importante o aspecto de configurar corretamente todas as suas configurações de domínio de e-mail: registros MX, DMARC, SPF, DKIM etc. são muito importantes para que outros servidores não rejeitem seus e-mails por causa de remetente errado/inválido/inexistente.

Uma ferramenta muito boa para usar neste caso é o MXToolbox, para que você possa verificar suas configurações e também o IP na lista negra (se houver)

Também tenha cuidado ao configurar portas abertas para seu servidor, se você hospedá-lo em sua casa, então você precisará de acesso total ao seu roteador de internet doméstico e gerenciar as portas.

Uma boa ferramenta para usar neste caso é PING.

Cuidado para não ser colocado na lista negra!

Sim, se você usar um IP doméstico compartilhado do seu ISP, ele pode ter sido usado anteriormente por outros spammers ou malware em alguns computadores para enviar spam em massa. Automaticamente em níveis altos esse IP será bloqueado.

Mas não se preocupe, existem ferramentas para desbloqueá-lo no seu nível (não no nível do ISP) e você sempre pode informar seu ISP sobre isso e é dever dele desbloqueá-lo (no final, eles fornecem a você e você paga por isso).

De qualquer forma, isso não o exclui de manter sua própria rede limpa:

Conhecimento é poder! Controle-o.