Precauciones sobre las redirecciones de cuentas de correo a cuentas externas

#1

1. Introducción

A continuación se explica porqué las redirecciones de cuentas de correo (alias de correo) a cuentas externas generan problemas de entregabilidad, no cumplen el SPF (entre otras medidas) y causan problemas de reputación para el servidor que implementa la redirección.

A continuación damos resumen de la solución y después explicamos el detalle del problema.

IMPORTANTE: Es importante tener presente que a medida que se vayan reforzando las políticas de verificación de origen (SPF, DKIM, etc), harán cada vez más incompatibles el funcionamiento de los alias a cuentas externas.

2. Resumen solución

Para evitar problemas recomendamos:

  1. POP3: Hacer que la cuenta de destino descargue el correo en lugar de recibir el correo por el alias.

  2. RESTRICIONES: Otra posibilidad es que la cuenta de destino del alias quite todas las restricciones de comprobación para todo lo que reciba desde el servidor que implementa el alias.

3. Explicación detallada

Antiguamente se podían configurar alias cuenta@midominio.com => otracuenta@otrodominio.com sin problemas.

Sin embargo, actualmente eso ha cambiado debido a la introducción de mecanismos reforzados alrededor del SPF, DKIM y otras políticas de verificación de origen.

Esto implica que: todos los servidores al recibir correo verificarán si el servidor remitente está autorizado para originar dicho correo.

Al introducir un alias, se introduce en medio de la comunicación un servidor que no está autorizado por el SPF para generar correo.

Es decir, al introducir un alias, el servidor de destino no recibirá el correo desde el servidor original, sino desde otro servidor que es el que está implementando el alias.

4. Solución para poder implementar alias

Debido a que los servidores actuales van a seguir realizando verificación de origen, ya sea con SPF, DKIM u otras verifcaciones, en gran medida por la lucha contra el Spam/Hacking/Phishing, es necesario:

  1. Dejar de configurar alias simples de redirección a servidores terceros por todo lo explicado.

  2. Si se necesitan una redirección, implementarlo como una descarga POP3 desde la cuenta final de destino del alias. Ejemplo:

    Si la cuenta original es: cuenta.original@dominio-orignal.com
    Y la cuenta de destino es: destino.alias@dominio-externo.com

    Entonces: hacer que la cuenta destino.alias@dominio-externo.com descargue por POP3 el contenido recibido en cuenta.original@dominio-orignal.com

  3. Otra opción es que los administradores del servidor que lleva la cuenta destino.alias@dominio-externo.com configure el buzón para no aplicar ninguna restricción ni marcado ni puntuje a todo lo recibido desde cuenta.original@dominio-orignal.com.

5. Problemas de reputación para el servidor que hace alias

Es importante entender otro aspecto que afecta al servidor que implementa redirecciones con alias a cuentas externas y es que todo el Spam/Phishing/Hacking que se reciba en la cuenta, será redirigido al servidor de destino.

La implicación de esta operación son las siguientes:

  1. El servidor que implementa el alias puede ser usado sin querer como trampolín o correa de transmisión para atacar otros servidores.

  2. Todo el hacking que reciban cuentas externas debido a alias será percibido por dichos servidores externos como generado por el servidor que implementa el alias.

  3. El punto anterior implica que se generarán problemas de reputación y marcado de Spam, especialmente para cuentas externas basadas en hubs públicos como @hotmail.com, @gmail.com, @yahoo.com por citar algunos.

Resumiendo: no se recomienda usar alias a cuentas externas si no se implementan con descarga POP3 o, alternativamente, si no se introducen las excepciones necesarias en el servidor de destino para que no castigue al servidor que implementa el alias.