FRENAR SALIDA DE SPAM

Si hay salida de spam se ve en: Webmin -> Servidores -> Postfix -> Mail Queue,
no debería superar los 5 correos, en caso de hacerlo y que no se esté enviando un
mailing entonces es altamente probable que tengan salida de spam, en tal caso toman el
número de indentificador (lo ven al comienzo de la línea de cada correo en el queue) y
consultan por la misma en: Sistema -> System Logs -> Archivo /var/log/maillog
Si mail.* Ver...
Una vez que tienen a quien le robaron la contraseña se la cambian, vacian el queue, si
hay muchos miles de correos de spam pueden borrar todos juntos en: Webmin ->
Otros -> Command Shell -> y corren este comando: postsuper -d ALL luego
tienen que parar y volver a arrancar el Postfix porque muchas veces el spamer queda
colgado en la sesión de esta forma lo cortan: Webmin -> Servidores -> Postfix: Para
Postfix, Arrancar Postfix

MONITOREO AUTOMÁTICO DEL QUEUE

Para poder evitar entrar en listas negras antispam, hay que monitorear el queue de
salida de correo, que el mismo no tenga salida de spam, ya sea por robo de contraseña
de correo, virus (Outlooks viejos ver puntualmente: https://blog.argentinavirtual.net/3-
consejos-para-mantener-libre-de-virus-tu-computadora/), etc.

Para recibir aviso automático tienen que ir a: Webmin -> Otros -> System and
Server Status -> y o clonan un monitoreo de queue o agregan uno nuevo de
cero, el servicio sería "Tamaño de Cola de Correo", Descripción: es la que les va
a llegar por correo pongan queue, nombre del servidor, detalle que consideren,
Fallos antes de notificar 1 (2 sino quieren falsos positivos por saturación de
recursos), Además, enviar email para este servicio a ponen un correo, Servidor
de correo: Postfix, Máximo tamaño de cola de correo: 10 (es un buen número
pero pueden subirlo o bajarlo a discreción) -> Crear

CORRECTA CONFIGURACIÓN DEL DOMINIO

Parámetros importantes son el SPF, DKIM y DMARK, para ver si está bien configurado
podemos usar esta herramienta cambiando dominio.com.ar, además en el caso del Dkim
necesitamos cambiar 2017 por el identificador que corresponda, lo encuentran en:
Virtualmin -> Opciones de Email -> DomainKeys Identified Mail -> Selector for
DKIM record name
SPF
https://mxtoolbox.com/SuperTool.aspx?action=spf%3adominio.com.ar&run=toolpage
DKIM
https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adominio.com.ar%3a2017&ru
n=toolpage
DMARK
https://mxtoolbox.com/SuperTool.aspx?action=dmarc%3adominio.com.ar&run=toolpa
ge
Leer estas referencias para saber de qué estamos hablando:
https://es.wikipedia.org/wiki/Sender_Policy_Framework
https://es.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://en.wikipedia.org/wiki/DMARC
En caso de que algún valor de mal revisar primero los DNS que usa el dominio, pueden
hacer en: https://www.whois.com/ si son los dns de su VPS entonces en: Webmin ->
Servidores -> BIND DNS Server -> Hallar zonas que coincidan con: buscamos el
dominio -> Editar Archivo de Registros
Generalmente el Dmarc no está agregan una línea así (cambiando dominio.com.ar):
_dmarc.dominio.com.ar. IN TXT "v=DMARC1; pct=50; p=quarantine; adkim=s;
aspf=s"
El SPF debería verse así (fue variando a lo largo del tiempo actualmente esta es la
configuración óptimizada que usamos, va variando con el correr de los meses pero esta
debería funcionar varios años bien):
dominio.com.ar. IN TXT "v=spf1 a mx a:dominio.com.ar ip4:181.119.146.72
ip4:200.110.145.0/27 ip4:190.210.186.0/24ip4:181.119.65.0/24
ip4:181.119.146.0/24 -all"
Donde ip4:181.119.146.72 lo cambian con la IP de su servidor y dominio.com.ar las dos
veces que aparece por su dominio.
El Dkim debería agregarse solo sino lo está haciendo nos avisan y lo corregimos,
explicarles como hacerlo puede derivar en problemas adicionales si sale mal.
El DNS secundario, de tener cargado su dominio, replica automáticamente por lo que
luego de unas horas tendrá la configuración, sin embargo, pueden usar mxtoolbox.com a
los pocos minutos de haber arreglado el dominio. El cliente deberá esperar al otro día
para ver el resultado.
VER SI ESTÁN EN LISTAS NEGRAS
https://mxtoolbox.com/blacklists.aspx
http://www.barracudacentral.org/lookups/lookup-reputation
Si están buscan en Google por el nombre de la misma y como deslistarse, generalmente
ahí está explicado.

CASOS DE HOTMAIL

Hotmail tiene el peor filtro antispam de Internet, es un disparo luego pregunto, no

funciona bien, anda para atrás, es de lo peor que existe. Increíblemente aún queda
gente que usa hotmail para su correo, para poder tener bandeja de entrada a hotmail
hay que monitorear el queue, si tienen muchos casos de spam hotmail no perdona,
adicionalmente tienen que tener bien los valores de Dkim, SPF y Dmarc, donde al enviar
una prueba a hotmail pueden revisar entrando al mail, arriba a la derecha del mismo en
los puntitos buscamos "View message source" y vemos como dan los valores (esto lo
tiene también Gmail por si ahí quieren revisar también), si alguno da mal pueden
pedirnos asistencia, a veces hotmail se tara con el Dkim y no lo quiere tomar bien, pero
esos son casos generalizados de un servidor.

Pueden tener todos los valores bien pero si alguna vez hubo spam y justo entro a
spamtrap de hotmail no va a ser simple lograr bandeja de entrada, tendrá que pasar
tiempo con todo bien configurado y al principio solo lograran los correos que tengan Muy
Bien 10 de puntaje, es decir si un correo habla de bancos, plata, facturas, lista de
precios, sexo va a ir a spam (el contenido, formato y estructura del correo influye en la
llegada a bandeja de entrada también).

Algo muy importante, cuantos más destinatarios le pongan esto no es spam a un

dominio o dominios de un servidor mejor el puntaje en hotmail, nosotros tuvimos
muchos años mal el dkim y ni nos enteramos, porque miles de clientes de Argentina
Virtual le dieron esto no es spam a nuestros correos.

Estos son los formularios que usamos para pedirle asistencia a hotmail:

https://support.microsoft.com/en-
us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=edfsmsbl3&lo
cale=en-us&ccsid=635639051175184163

https://support.microsoft.com/en-us/supportrequestform/8ad563e3-288e-2a61-8122-
3ba03d6b8d75

Cuando rebota a Office

https://sender.office.com/

La primera vez que le escriben hotmail contesta algo así como "Está todo en orden pero
errores pueden ocurrir" recién al insistir por segunda vez lo ve un humano (uno o dos
días después) y les envía un informe, muy pocas veces solucionando el problema, pero
no se pierde nada con probar. Si se insiste lo suficiente probablemente se logre una lista
blanca temporal, pero de nuevo, poner esto no es spam en cuantos correos y destinos
de hotmail se pueda es la mejor opción.

HERRAMIENTAS PARA VER COMO LLEGA EL CORREO

https://www.mail-tester.com/
https://senderscore.org/rtbl/
La primera es genial les van enviando correos y ven el puntaje según al configuración, la
segunda (se tienen que dar de alta) sirve para hacer un seguimiento del servidor, si dice
que aún no se vió suficiente correo ese server simplemente aún no tiene reputación, lo
que obviamente no suma puntos para la llegada a bandeja de entrada, la reputación se
logra con el uso normal del correo y el tiempo.

CUANDO EL BLOQUEADO ES EL DOMINIO

A veces el que está en lista negra es el dominio del cliente, por un caso de spam
particular del mismo, ya sea intencional o no, son raros los casos, pero pueden revisarlo
en: https://admin.uribl.com/ otras cuando se mandan un test en el encabezado del
correo por la línea de spamassassin (es el filtro que tienen con nosotros) que se ve así:
X-Spam-Status: Yes, score=9.0 required=8.0 tests=DKIM_SIGNED,DKIM_VALID,
FUZZY_CREDIT,HTML_MESSAGE,LOTS_OF_MONEY,RCVD_IN_DNSWL_BLOCKED,
URIBL_BLOCKED autolearn=no version=3.3.1
X-Spam-Report: * 0.0 RCVD_IN_DNSWL_BLOCKED RBL: ADMINISTRATOR NOTICE:
The query to DNSWL * was blocked. See *
http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for
Esos casos habrá que googlearlos, habría que ver en que filtro entro, pedir ser removido,
como en el de arriba y cruzar los dedos que no haya otros que no aparecen en listas
públicas. Como fuere el tiempo, el correcto uso siempre mitigan y ayudan a que se
resuelva.

CUANDO MAILS QUE SE RECIBEN ENTRAN A SPAM

Simplemente configurar correctamente el Spamassassin: Servidores ->
SpamAssassin - Filtro de Correo -> Edit Config Files borramos todo y ponemos
el contenido del adjunto, texto para spamassassin, donde está línea es importante:

required_hits 12

Acá definen el nivel de agresividad del filtro, luego de Salvar, Aplican cambios. Para la
configuración adjunta (va variando con el correr de los meses pero esta debería servir
bien dos años) un nivel 12 es bastante permisivo, sobre 20000 usuarios de correo
logramos un reclamo bastante bajo por falsos positivos (mails que entran a spam que no
lo son), el que está especialmente afectado de spam (por poner su email en todos lados
o en una web) va a putear un poco, ese en realidad necesitaría un VPS con filtro propio
configurado a medida. Igualmente como ustedes tienen menos usuarios quizás puedan
bajar ese número un poco (no menos de 8, siempre dar a aplicar cambios)

Para blanquear dominios o poner en lista negra (no blanqueen hotmail, yahoo o gmail)
tienen un video con indicaciones acá: https://blog.argentinavirtual.net/mesa-de-
ayuda/virtualmin/filtrar-o-blanquear-emails-en-spamassassin/

CUANDO LOS MAILS DEMORAN HORAS O DÍAS EN ENTRAR

Si no es que le entró a spam al usuario entonces se debe a una configuración incorrecta

del servidor de mail del remitente (o porque usa barrido para la salida y no se
autoblanquea facilmente), caso Don Web, Hotmail y Fibertel para nombrar algunos
ejemplos, a los mismos los blanqueamos en el filtro de lista gris en: Virtualmin ->
Email Messages/Opciones de Email -> Email Greylisting (si se lee Enable
Greylisting no hace falta hacer nada se puede dejar desactivado si no hay mucho spam
entrante) -> Add a new SMTP client to whitelist

Estos deberían agregar que no vienen por defecto:

microsoft.com
hotmail.com
telefonica.com
outlook.com
telecom.net.ar
mx.aol.com
dattaweb.com
outbound.protection.outlook.com
fibertel.com.ar
ASPMX.L.GOOGLE.COM
gmail.com
fibercorp.com.ar
googlemail.com

Con solo agregarlos basta, sino estamos seguros si el delay venía de la lista gris
podemos confirmarlo en: Sistema -> System Logs -> Archivo /var/log/maillog Si
mail.* Ver... se ve como esto:
Recipient address rejected: Greylisted, see
http://postgrey.schweikert.ch/help/limser.com.ar.html

Normalmente se tiene que autoblanquear, es decir sino ponen fibertel.com.ar

eventualmente luego de unas semanas todos los servidores de fibertel quedan
blanqueados, por defecto todos los servidores hacen un segundo intento a los pocos
minutos, con estos proveedores lo que pasa es que el segundo intento lo hacen desde
otro de sus servidores, hasta que todos quedan blanqueados demora.

Este sistema de lista gris frena gran parte del spam entrante que nunca entra, ni
siquiera a la carpeta de spam, con cero falsos positivos.

UNA HERRAMIENTA ÚTIL

Cuando les pregunten de un correo que salió y teóricamente no llegó o que les fué
enviado y nunca entró es práctico consultar email del remitente, del receptor fecha y
hora aproximada, luego en Sistema -> System Logs -> Archivo /var/log/maillog
Si mail.* Ver... revisan que pasó, con el tiempo aprenderán a leer esas líneas y
buscar más detalle usando esa misma herramienta.

Este sería un resumen solo de los filtros y configuraciones, con esto ya van a tener
herramientas para atacar los problemas más comunes, los servidores en sí (entrante y
salida son servidores diferentes) tienen libros enteros de manuales (que no incluyen la
programación solo funcionamiento, configuración y uso), para que se den de una idea y
puedan explicarle al cliente cuando dice - Cómo puede ser que un servicio tan básico
como el correo pueda tener problemas - :)