Reenvío de correo desde webmail (Roundcube) con un VPS que tiene Plesk

Nos dimos cuenta de este caso cuando ocurrió que en los registros de envío aparecía constantemente reenvío de correo a una dirección desconocida (en este caso [email protected], ya reportada por mucha gente), era sospechoso porque este correo es de otro país al parecer (Colombia) y el servidor era administrado por gente de México. Además que las palabras que conformaban el correo no coincidían con nada conocido ni la actividad del cliente.

Resulta que al analizar los usuarios de correo que existían en el panel Plesk no aparecía nada raro. No había un reenvío configurado o algo modificado en los parámetros de configuración del panel.

Buscando en los registros parecía que estos mensajes se habían enviado desde Roundcube que era la interfaz instalada para consultar los correos por webmail.

Entonces al ingresar a uno de los usuarios se encontró un filtro que solo tenía como nombre un punto y en los parámetros aparecía la cuenta a la que se estaban reenviando todos los correos.

La cuenta que los recibía puede haberse hecho con cualquier cantidad de datos, ya ni necesitaría enviar correos de phishing al usuario, el mismo le estaba enviando toda su información.

Imágen con Filtro para reenvío en roundcube

Una vez que se modificó la contraseña y se eliminó este filtro, asunto resuelto.

Ahora, ¿cómo prevenir que esto ocurra de nuevo?

Teniendo una contraseña segura, no compartiendo los datos de acceso de la cuenta con nadie, revisando y limpiando el equipo del usuario contra todo tipo de malware (el antivirus local instalado puede estar comprometido).

Y recordar siempre activar el certificado de seguridad e ingresar siempre con el protocolo https


Un VPS es un servidor virtual, aquí pueden encontrar una definición y características: Wikipedia

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *