Descripción:
Si usted tiene contratado el servicio de hosting compartido que incluye Email, no puede enviar o recibir mail (normalmente sólo una de las acciones) y sí puede usar su mail desde la interfase de webmail, es probable que la dirección IP desde donde usted se conecta haya sido bloqueada por nuestro sistema al haber detectado un Abuso de utilización de uno de estos protocolos de mail.
Para verificar si esto sucedió, favor de levantar un caso de soporte (para generar un caso al área de soporte dar click aquí) indicando cuál es su IP. Esto lo puede revisar entrando a su explorador en la sig. dirección: http://www.whatsmyip.com. La dirección IP que ahí le salga, envíela en su ticket.
Causas:
Tiempo y consecuencias del bloqueo.
- A la hora del bloqueo, nuestro sistema de protección de los servidores de email detectó un Ataque o Abuso desde su dirección IP.
- Este bloqueo puede durar inicialmente entre 60 y 120 min.
- Si hay más de 3 recurrencias por semana, la dirección IP se bloqueará 24 horas.
- Si hay más de 5 recurrencias en un mes, se bloqueará no sólo la IP sino todo el dominio permanentemente sin excepciones.
- En ataques tipo "Password Brute Force attacks" la IP quedará bloqueada desde la primera incidencia por una semana.
Después del tiempo de bloqueo temporal, automáticamente se desbloqueará su IP. Si es un bloqueo permanente, se le informará al administrador de su dominio.
Importante: Nuestro equipo de soporte no puede desbloquear una dirección IP en ningún caso.
Razones por las que se genera un bloqueo automático.
El tipo de bloqueos se deben por alguna de las siguientes condiciones:
a) Abuse detection rule (DenialOfService).
Detecta conexiones SMTP (envío de mails) /POP (recepción de mails) que se producen de forma múltiple en exceso, constante y en muy poco tiempo. Esto se considera un ataque que puede bloquear nuestro servicio de mail y por lo tanto, se bloquean los puertos correspondientes para detener el ataque al puerto determinado y proteger el servicio.
En la mayoría de los casos no se relaciona con una cuenta de mail del cliente sino con algún virus o algún programa tipo spyware que está intentando conectarse múltiples veces a nuestros servidores. Se le sugiere revisar las computadoras de su red para detectar su tráfico interno y ver si hay alguna anomalía.
También se puede generar este bloqueo cuando tiene una cantidad muy grande de usuarios bajo la misma dirección IP y se conectan simultáneamente de forma muy frecuente.
Acciones a tomar:
Si usted tiene más de 50 usuarios bajo una misma dirección IP conectándose a nuestro servicio de email, le sugerimos configure cada equipo para revisar y enviar email automáticamente en intervalos de no menores a 5 minutos entre conexiones.
Si tiene más de 100 usuarios bajo una misma IP, sugerimos tiempos no menores a 10 minutos entre conexiones. De requerir mayor número de conexiones desde una misma dirección IP, sugerimos la contratación de servicio de hosting dedicado.
También es importante indicarles a sus usuarios que no estén dando click constantemente en su botón de "Enviar/Recibir" emails del Outlook o programa de mail.
Más información en:
https://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servicio
b) Bad SMTP Sessions (Harvesting).
Este ataque sucede cuando desde cierta dirección IP se generan conexiones que se realizan y que no envían ningún mensaje. Estas sesiones se denominan "Bad SMTP sessions" y se considera un ataque porque sólo agrega carga al servicio de mail hasta el punto en que puede inhibirlo por lo que es una regla muy estricta. Resulta en el bloqueo de los puertos del servicio SMTP.
En ningún caso es factible informarle de qué cuenta de email se originó ni de qué computadora de su red local. Por seguridad no se le puede informar exactamente los parámetros de nuestros sistemas de protección.
Acciones a seguir:
Revisar sus equipos locales por spyware, virus o malware.
Más información en:
http://en.wikipedia.org/wiki/Directory_Harvest_Attack
c) Password Brute Force Detection.
Este ataque sucede cuando desde cierta dirección IP se generan conexiones que intentan autentificarse en nuestro servidor pero están usando una contraseña incorrecta. Cuando en un tiempo muy corto se realizan múltiples conexiones de este tipo, para nuestro sistema significa que alguien está intentando "adivinar" una contraseña y por lo tanto, es un spammer que desea ingresar a nuestro servicio de mail para enviar o recibir emails adivinando combinaciones de usuarios/contraseñas. Se bloquearán los puertos POP, SMTP, IMAP o del servicio en cuestión que esté siendo atacado. Este es un ataque que se considera de alta peligrosidad para nuestro sistema por lo que la IP en cuestión quedará bloqueada por 7 días desde la primera incidencia.
Acciones a seguir:
Revisar sus equipos locales por spyware, virus o malware.
d) Internal spammer.
Eso sucede cuando el servidor detecta que desde una IP, se están enviando múltiples mails con el mismo contenido y el mismo tamaño en un tiempo muy corto de tiempo. Esto se considera un ataque de spam y por lo tanto, se bloquean los puertos del servicio SMTP de la IP desde donde se origina este tipo de envío de emails.