Los tres eslabones para intentar prevenir uno de los tipos de Abuso de Correo Electrónico más importantes en la problemática del ACE, Difusión a través de canales no autorizados son:

• Política institucional para el uso del servicio de correo electrónico

• Correcto diseño del servicio de correo electrónico dentro de una organización.

• Configuración adecuada de los Servidores de correo

Correcto diseño del servicio de correo electrónico dentro de una organización

El diseño del servicio de correo debe estar intimamente relacionado con la topología fisica de la red y acoplarse a ella. La estructuración idónea del servicio debe estar basado en un encaminamiento de correo centralizado. Existe un documento más completo en:

Diseño de un servicio de correo electrónico.

Las coordenadas básicas para este diseño son:

1. Definición de uno o varios servidores de correo-e. Uno de ellos será el principal y el resto secundarios de backup.
   La definición de estos servidores permitirá concentrar todos los esfuerzos y recursos en garantizar seguridad y calidad de servicio. Estarán claramente reflejados en los registros de tipo MX.

   Exclusivamente las máquinas gestionadas por el Servicio de correo-e de cada organización deberán disponer procesos SMTP operativos accesibles desde el exterior.Aún así, es necesario por lo menos conocer, que maquinas locales disponen de servidores SMTP.
   Los responsables del servicio deberán estar completamente coordinados con los gestores del Domain Name Server (DNS). Al asignar una dirección IP a una máquina se debe informar y orientar al propietario las implicaciones de habilitar procesos SMTP si fueran necesarios.

   Registros de tipo MX. Una vez definido el espacio de direcciones lógicas de correo-e sólo esas y nada más que esas deberán disponer de registros MX.

   Filtros de acceso en los routers. Para recoger beneficios con la implantación de una topología centralizada es necesario la utilización de medidas expeditivas como es el filtro del puerto 25 en el conmutador que da acceso a Internet. De tal forma que:

   Sólo los servidores definidos en el punto 1. deberá ser accesibles desde el exterior de nuestra Red. Para ello habra que definir "listas de acceso" en los routers para que sólo encaminen paquetes IP por el puerto 25 de los servidores definidos, el resto denegado

Configuración adecuada de los Servidores de correo

Aquí se exponen los requisitos mínimos a tener en cuenta a la hora de configurar el servidor principal de correo-e , el cual debe ser el corazón del servicio y un bastión para la seguridad y contra los abusos del servicio. Éstas son:

1. Definir el espacio de direcciones de correo lógicas de las que es responsable (reflejadas en los registros de tipo MX) el servidor. No olvidarse de los dominios virtuales de los que se responsabiliza si los hubiera.

2. Definir claramente las direcciones IP de las redes a las que damos servicio de correo-e y que deberán ser las únicas que tengan permiso de utilizar el servidor principal para encaminar correo. A cualquier otra se la debe denegar el servicio en la transaccion SMTP.
   Es decir, hay que tener completo control de las direcciónes IP que tienen permiso para establecer un sesión SMTP contra nuestro servidor, logicamente se incluyen tanto Agentes de Usuarios desde PCs como servidores de correo-e secundarios internos de nuestra organización

3. No aceptar correo desde direcciones externas a nuestra dominio y destinadas a direcciones externas a nuestras dominio.
   Esta regla junto con la definida en el punto 2. debe denegar el encaminamiento de correo desde cualquier dirección IP fuera de nuestro dominio destinada a cualquier dirección (RCPT TO:) fuera de nuestro dominio, independientemente cual sea la dirección origen del sobre(MAIL FROM:).

4. Rechazar correo en el que durante la sesión SMTP aparezca un valor de MAIL FROM: sin dominio.

5. Rechazar correo en el que durante la sesión SMTP aparezca un valor de MAIL FROM: con un dominio que no tenga resolución en el DNS.

Estos serían los requisitos mínimos que se deben definir en un servidor de correo electrónico correctamente configurado para evitar el uso ilegal de sus máquinas por personas no autorizadas. Además se pueden implementar otras medidas restrictivas como:

• Listas de acceso de direcciones de dominios,usuarios y/o direcciones que se les deniega el servicio.

• Si fuera posible se deberían implementar en la configuración de servidor las tablas de MAPS (Mail Abuse Protection System) RBL (Realtime Blackhole List) que denegará el acceso a determiandas direcciones.Las MAPS RBL es una relación de direcciones IP de: máquinas que no tienen protegido su servidor de correo, máquinas de ISPs que alquilan sus servicios para hacer spam, máquinas que hacen spam directamente etc. Podreis encontrar mas información en: http://mail-abuse.org/rbl

La soluccion a los efectos del ACE no puede concentrase la definicion unilateral de de listas negras en los servidores que si no se coordinan, el correo-e en Internet podría deteriorarse más que los problemas originados por el ACE. Podría llegarse a un punto donde las organizaciones sólo aceptarán correo de determinados dominios en base a acuerdos de mutua confianza y el resto denegado.Peligroso.