English EN | Deutsch DE | Français FR | Italiano IT | Dutch NL | Hrvatski HR | Hindi HI

Publicado originalmente en Substack el 18 de septiembre de 2022

Actualizado aquí el 18 de diciembre de 2024

Guía de Darth sobre cómo lidiar con los correos electrónicos no deseados

SPAM - No lo combatas, sino EVÍTALO en silencio.

Sí, si lo "combates" se vuelve agresivo y no llegarás a ninguna parte. Evitarlo es el camino, pretendes que sus tácticas de spam te han funcionado, pero en realidad, simplemente lo tiras a la basura.

Algunos de mis lectores se pusieron en contacto conmigo y me pidieron que escribiera una guía sobre el spam de correo electrónico, ¡así que aquí está! Sí, muchos usuarios de Bitcoin, hoy en día, reciben una gran cantidad de spam y muchos de ellos no son tan expertos en este tema y pueden asustarse y no saber qué hacer.

Intentaré darte algunos consejos y soluciones simples, que cualquier usuario normal puede hacer. Traté de hacer más de 20 años de administración de sistemas, incluso para lidiar con los spammers en los servidores de correo electrónico que administré todos estos años.

No todo el mundo sabe cómo funciona un sistema de correo electrónico, qué hay detrás de toda la comunicación. Intentaré no entrar demasiado en detalles técnicos.

En primer lugar, vamos a clasificar el spam. Tenemos los siguientes tipos:

a. Correo electrónico no solicitado habitual

Recibes un montón de mensajes con un montón de basura. Principalmente porque siempre usaste tu dirección de correo electrónico habitual para suscribirte en muchos sitios web diferentes y algunos de ellos filtraron esa dirección a los spammers o simplemente caíste en un sitio web trampa de spam.

b. Correo electrónico suplantado

Cuando tu dirección de correo electrónico llega a manos o listas de spammers y se usa como "el remitente" (en el campo "de") de los correos electrónicos no deseados que envían a otras personas. ¡Ten cuidado! También se usa para ver si tu servidor de correo electrónico tiene implementado un sistema de "informe de no entrega". y cómo se trata con los correos electrónicos que tienen una dirección "de confianza" o "incluida en la lista blanca" en el campo "de".

c. Correo electrónico de phishing

Aquí también hay 2 subcategorías: aquellos que conocen su dirección de correo electrónico real y aquellos que simplemente envían a varios correos electrónicos posibles de su dominio (si usa uno personal).

Estos se envían para engañarlo para que haga clic en los enlaces en el cuerpo del mensaje. Todos se verán casi como los remitentes reales, generalmente servicios de Bitcoin famosos que posiblemente haya usado. Todavía no lo saben, pero intentan averiguarlo haciéndole hacer clic en ellos. Casi todos están redireccionando a direcciones de enlaces extraños o tratando de falsificar la real, cambiando u omitiendo una letra, cosas como esta.

d. Spam de inundación

Cuando su servidor está literalmente abrumado por una gran cantidad de mensajes enviados hacia su servidor y está literalmente bloqueado. En este momento estás jodido, estás siendo atacado directamente, alguien realmente quiere que tu servidor caiga.

¿Qué hacer?

Entonces, ¿qué puede hacer un usuario simple para protegerse de los ataques de spam, en especial cuando se trata de sitios de Bitcoin, intercambios, etc.?

Hay dos niveles para responder a esta pregunta: básico y avanzado.

PASOS BÁSICOS (que cualquier usuario normal puede hacer):

Usa alias

Cuando tengas que usar una dirección de correo electrónico para registrarte/suscribirte en un sitio web o servicio, SIEMPRE usa un alias.

Un alias es como una dirección de correo electrónico secundaria vinculada a tu buzón principal. Es como una billetera de Bitcoin, con varias direcciones BTC/UTXO. Así que usa un alias específico para cada sitio web/servicio.

Ejemplo: para crear una cuenta en un intercambio de BTC, usa exchange-x-y-z@your-domain-name.com.

Sí, dirás, pero yo uso gmail/hotmail, etc. Deja de usar esos servicios de correo electrónico alojados públicamente. Úsalos SÓLO como recolectores de basura, o en casos específicos en los que no quieras revelar tu nombre de dominio personal, evitar la identidad o cosas por el estilo. Estos servicios de dominio público los utilizan sólo para asuntos PÚBLICOS, para mantener privados tus asuntos privados.

Muchos de estos servicios de dominio público también ofrecen la creación de alias, algunos de ellos son servicios adicionales pagos.

Usar tu propio nombre de dominio de correo electrónico te da más flexibilidad para controlar todos estos alias, pero ten cuidado también con DÓNDE lo usas, no todos los lugares son buenos para usar tu dominio de correo electrónico personal.

Otra forma es usar servicios dedicados que manejan alias específicos y redirigen todos los correos electrónicos a tu dirección de correo electrónico real. Hay un montón de ellos, tal vez más adelante, agregue una lista de ellos aquí. Simplemente busca en Internet "alias de redireccionamiento de correo electrónico" y los encontrarás. Muchos son gratuitos, pero ten en cuenta que algunos también pueden ser servicios de recolección de spam.

Por lo tanto, organiza tu buzón de correo, con reglas, que verifiquen el campo "Para", que contiene tu alias "especial" y redirijan esos mensajes a subcarpetas específicas que crees en tu Bandeja de entrada principal. De esta manera, siempre sabrás de QUIÉN y a QUÉ alias se envió un correo no deseado.

Si ves que en un alias comienzas a recibir correo no deseado, tienes dos opciones simples:

No hay imágenes en el cliente de correo electrónico

Tanto si usas un cliente de correo electrónico de escritorio como móvil, configura tu software de cliente para que NO descargue las imágenes adjuntas a un mensaje.

Sí, existe una opción como esa en cualquier cliente de correo electrónico decente. Y te protegerá de descargar cualquier imagen basura adjunta, que se puede ocultar y se puede usar como un algoritmo de seguimiento. Generalmente colocan las imágenes en servidores dedicados desde donde se descargan y cada descarga es un rastreo de tu IP, dispositivo, SO, software, etc.

Además, estas imágenes ocultan el enlace real detrás, el enlace del malware, en el que harás clic sin saberlo y… voilá, te infectarás o te rastrearán.

Puedes hacer clic manualmente para descargar imágenes de un remitente de correo electrónico confiable, pero no de forma automática de forma predeterminada para todos.

Políticas de contraseñas

¡No uses la misma contraseña en todos los sitios web o servicios que uses!

Esta es una de las reglas más importantes y simples.

Una forma sencilla de administrar varias contraseñas (sé que es difícil recordarlas todas) es usar un administrador de contraseñas. KeePass o BitWarden son muy buenos y se pueden usar totalmente sin conexión en varios dispositivos. Estos administradores de contraseñas también tienen un generador de contraseñas integrado, lo que facilita la creación de nuevas contraseñas aleatorias. ¿Por qué es bueno tener contraseñas aleatorias? Porque no podrías ser "atacado mentalmente" y filtrar esas contraseñas habituales que generas tú mismo.

¡Los administradores de contraseñas en línea NO son confiables! ¡Todo lo que se almacena en el servidor de otra persona NO es tuyo!

Si aún quieres guardar una contraseña de inicio de sesión en tu navegador habitual, al menos ve a configuración y establece una contraseña maestra segura para abrir esa bóveda, temporalmente. Además, configura tu navegador para que NO guarde ningún historial, cookies, etc. en una sesión, de modo que una vez que cierres la aplicación, se borre todo lo que quede, por lo que todas las pequeñas cookies que aún puedan leer esas contraseñas almacenadas desaparecerán al reiniciar. Pero no siempre funciona al 100 %. Así que guarda solo las que usas con más frecuencia y que no son tan importantes.

Limita tu presencia en línea

Sí, ¿por qué tienes que suscribirte a toda la mierda disponible en línea?

Limita tu presencia y no des tu información (incluso si es falsa o anónima) a la basura inútil que encuentres en línea.

Deja de participar en cuestionarios, votaciones, peticiones, encuestas y cuestionarios inútiles. O al menos selecciónalos e intenta usar más de esos sin dar una dirección de correo electrónico. Si algo se promociona como "cosas gratis", simplemente envía tu correo electrónico aquí... eso significa en casi todos los casos: recopilar datos de usuario. Las cosas gratis NUNCA son gratis.

PASOS AVANZADOS (para usuarios con más conocimientos y habilidades técnicas)

Utilice su propio dominio alojado y/o servidor de correo electrónico

Esto es bastante avanzado, pero con un poco de aprendizaje básico puede hacerlo incluso si no es un administrador de sistemas.

Opción A: su dominio, pero no su servidor

Solo puede comprar su propio dominio.com y alojar el servidor de correo electrónico en un VPS, hay muchos servicios baratos como ese y con unos pocos clics simples tiene su propio servidor de correo electrónico listo.

Sí, esto lo administrará otra persona, pero puede controlar al menos el software y la configuración, exactamente como lo necesita.

Hay muchas soluciones de correo electrónico disponibles, no las nombraré aquí, elija la que se adapte más a su uso. Lo importante es que tienes más flexibilidad para gestionar tus propios buzones de correo, alias, acceso, correo electrónico privado y cifrado, etc.

Opción B: tu dominio, tu servidor

Esta opción requiere más conocimientos técnicos para instalar, gestionar y mantener la seguridad de un servidor real para tu dominio y sistema de correo electrónico.

Con esta opción, incluso podrías ser un proveedor de correo electrónico para tu familia y amigos.

Un servidor de correo electrónico sencillo como ese podría ser incluso un NAS (almacenamiento de área de red) como Qnap o Synology. Consulta sus paquetes de aplicaciones; tienen una solución sencilla para un servidor de correo electrónico de usuario doméstico. Por ejemplo, Xeams es muy fácil de instalar y configurar con un NAS de QNAP. Hay muchas otras aplicaciones de servidor de correo electrónico disponibles.

Si desea un sistema de correo electrónico más robusto y avanzado, instale uno en una máquina Linux, con un software específico como servidor de correo electrónico. Nuevamente, hay muchas aplicaciones para usar, algunas más avanzadas que otras. Muchas son gratuitas.

Para las máquinas Windows, recomendaría una muy simple: MailEnable. En solo unos pocos clics, tendrá un servidor de correo electrónico en su máquina Windows habitual, con correo web y también acceso desde varios dispositivos y clientes.

Sí, esta opción (su dominio / su servidor) requiere algunas habilidades adicionales en redes, SO, cómo funciona el sistema de correo electrónico, administración de dominios, seguridad, firewalls, etc.

¡Pero no se asuste! Lea más documentación y podría tener su propio servidor, incluso en su casa, con su conexión a Internet habitual. Sí, con simples medidas de seguridad podría tener un servidor seguro, no hay nada de qué preocuparse.

Detectar el remitente real

Cuando desee crear una lista de correo no deseado para incluir en la lista negra a todos los remitentes específicos, primero deberá averiguar QUIÉN lo envió. No se deje engañar por lo que ve en su cliente de correo electrónico como campo "de". Puede ser cualquier cosa que contenga un @ allí.

Abra ese elemento de mensaje y vaya a las propiedades del mensaje. Se abrirá el panel de información del encabezado del correo electrónico.

Allí puede ver la comunicación REAL que se produjo:

Por lo tanto, anote todos estos detalles o haga una lista simple, un texto o un archivo csv para que luego pueda importarlos todos a los filtros de políticas antispam de su servidor.

Organice sus políticas antispam

Ahora es el momento de deshacerse de estos spams basura.

Por lo tanto, según el sistema que use, deberá crear listas negras y listas blancas específicas.

También es bueno tener implementado un sistema NDR. NDR = respuesta de no entrega.

Existen varias formas de utilizar los NDR:

Cree listas blancas. Sí, es una buena práctica agregar los dominios y otras direcciones IP de servidores en los que confía para recibir correos electrónicos a una lista blanca.

Además, algunos programas de servidores de correo electrónico vienen directamente con filtros de listas de correo no deseado en línea, como Barracuda, SpamHaus, SORBS, etc., por lo que el uso de listas blancas evitará que estos filtros de correo no deseado rechacen correos electrónicos válidos.

Configure su servidor de correo electrónico

Sí, es muy importante el aspecto de configurar correctamente todos los ajustes de su dominio de correo electrónico: registros MX, DMARC, SPF, DKIM, etc. son muy importantes para que otros servidores no rechacen sus correos electrónicos debido a un remitente incorrecto / inválido / inexistente.

Una muy buena herramienta para usar en este caso es MXToolbox, para que pueda verificar su configuración y también la IP en la lista negra (si la hay)

También tenga cuidado con la configuración de los puertos abiertos para su servidor, si lo aloja en su casa, por lo que necesitará acceso completo a su enrutador de Internet doméstico y administrar los puertos.

Una buena herramienta para usar en este caso es PING.

¡Tenga cuidado de no ser incluido en la lista negra!

Sí, si usa una IP doméstica compartida de su ISP, podría haber sido utilizada previamente por otros spammers o malware en algunas computadoras para enviar spam masivo. Automáticamente en niveles altos esa IP será bloqueada.

Pero no te preocupes, hay herramientas para desbloquearla a tu nivel (no a nivel de ISP) y siempre puedes informar a tu ISP sobre eso y es su deber desbloquearla (al final ellos te la proporcionan y tú pagas por ella).

De todos modos, esto no te excluye de mantener tu propia red limpia:

¡El conocimiento es poder! Contrólalo.