Evitar creación de filtros de reenvío o cambio de identidad para Spoofing en Roundcube

Como vimos anteriormente en https://www.correoweb.mx/reenvio-de-correo-desde-webmail-roundcube-con-un-vps-que-tiene-plesk/ se estaba utilizando una cuenta de correo para reenviar toda la información que recibía a la cuenta de [email protected] que es conocida por ser una dirección usada por amantes de lo ajeno y que recaba toda la información que puede ser explotada posteriormente.

Otra práctica que puede hacerse en conjunto o por separado es que al tener control de una cuenta, no solo se recaben los correos que reciba o envíe, sino también sea utilizada para enviar correo de suplantación de identidad (spoofing) con o sin malware adjuto.

En los casos que se utilice Roundcube para el correo web (webmail), casi siempre tiene por defecto el permiso para que cada usuario pueda agregar identidades y cambiar a su antojo entre una y otra al enviar correo.

Bueno, pues esa función es la que explotan los atacantes.

Se necesita prevenir esto modificando en el archivo de configuración el nivel de acceso que tendrán los usuarios.

En Plesk por ejemplo la ruta y el archivo son: /usr/share/psa-roundcube/config/defaults.inc.php

Allí es necesario encontrar la línea que dice:

Identity Settings: $config[‘identities_level’] = 0;

Allí el nivel se sugiere cambiarlo a 4 para tener la mayor seguridad que no se modificará nada que no se desee. Quedando por ejemplo como sigue:

Identity Settings: $config[‘identities_level’] = 4;

Ahora que se ha editado el archivo solo es necesario guardar los cambios, cerrar Roundcube y abrirlo de nuevo para comprobar que no se puedan editar identidades.

Si no cómo mínimo se sugiere dejar el número 3  que implica permitir solo una identidad y poder editar todos los parámetros adicionales excepto la dirección de remitente (from).

Si se utiliza Panel Vesta o Hestia el archivo está en /etc/roundcube

Para cPanel la ruta es: /usr/local/cpanel/base/3rdparty/roundcube/config/

4 pensamiento sobre “Evitar creación de filtros de reenvío o cambio de identidad para Spoofing en Roundcube

  1. DCM

    Buenas tardes

    La empresa en la que trabajo tiene varios correos con ese problema, pero el servicio de correo lo maneja una empresa aparte a la que pagamos el servicio, solo nos ofrecen conectarse por anydesk y bloquea el «remitente» lo cual no soluciona el problema, ¿Qué puedo hacer para forzar a la empresa a solucionar el problema? actualmente dicen que no tiene solución y que solo elimine el correo de rebote. gracias.

    Contestar
    1. Web Master Autor del artículo

      El problema que puede originar el que no lo resuelvan es que todos los correos del dominio se listen con mala reputación (listas negras), lo que ocasionará una grave dificultad para poder enviar correos a otros.

      Si tienen el correo de SuEmpresa.com probablemente tengan un cPanel asociado como gestor visual del servicio. Por lo que sería necesario contactar directamente con esta empresa a fin de poder solicitarles la corrección de estas reglas para impedir la suplantación de identidad.

      También es posible que alguno de los equipos esté o haya estado infectado, por lo que además de revisar tales equipos será necesario crear nuevas contraseñas que sean seguras, a fin de evitar que quienes hayan logrado previamente acceso a los buzones ya no lo tengan.

      También existe la posibilidad de cambiar de proveedor de correo, por ejemplo con un revendedor de servicio de Google Workspace, Microsoft 365 o Rackspace, a fin de tener un control directo de las cuentas y su administración.

      Esto implicará tal vez hacer un respaldo de los mensajes del servidor actual, dependiendo si las cuentas las utilizan vía POP o IMAP en Outlook por ejemplo. Siendo en el caso de IMAP o uso de webmail cuando se necesita si o si hacer un respaldo.

      La ventaja es que las herramientas mencionadas, como la de Google, Microsoft o Rackspace tienen la posibilidad de hacer una copia de los mensajes actuales desde el servidor que utilizan hacia su servicio (una vez creadas las cuentas en el nuevo servicio).

      Espero puedan resolver esta situación.

      Saludos.

      Contestar
      1. DCM

        Gracias, se volverá a contactar al proveedor, solo apóyeme en re editar el comentario para eliminar el nombre de la empresa. gracias.

        Contestar

Deja una respuesta

Tu dirección de correo electrónico no será publicada.