Categoría: Hosting

Todos los planes de hosting web, incluyen desde su activación una cuenta por defecto (también conocida como cuenta catch-all). Su función principal es la de recoger todo el correo perdido que se envíe a un dominio.

Si por ejemplo, alguien envía un correo a infffo@tudominio.com en lugar de a info@tudominio.com, ese correo quedará almacenado igualmente.

La cuenta por defecto o catch-all, tiene el inconveniente de que puede llenarse rápidamente de spam (correo basura). Siguiendo con el ejemplo, guardaría también el correo enviado a soporte@tudominio.com contacto@tudominio.com ventas@tudominio.com

Es por eso, que desde el panel de control (cPanel) puedes modificar el comportamiento de la cuenta por defecto:

• Puedes elegir a la cuenta que se reenvíe el correo perdido.
• Que dé un error al remitente, es decir, que devuelva el correo.
• Que no haga nada y tampoco de error.

¿Cómo acceder a la cuenta por defecto?

Puedes hacerlo como el resto de cuentas, por alguno de los 3 sistemas de webmail que ofrecemos o configurándola en tu programa de correo favorito. En este último caso, los datos de acceso son los mismos que utilices para conectar al cPanel.

Como medida de seguridad y para evitar los intentos de ataques que estamos recibiendo a lo largo de la mañana, hemos procedido a bloquear las redes y subredes de:

• 175.182.0.0/16
• 175.181.0.0/16
• 175.180.0.0/16

Todas correspondientes al mismo proveedor Taiwanes. Si realizas negocios con Taiwán, es posible que este bloqueo te pueda afectar, en ese caso, contáctanos.

La principal causa por la que tu cuenta se puede ver comprometida, suele ser por un gestor de contenidos (CMS) que no ha sido actualizado en mucho tiempo (WordPress, Joomla, etc).

Si has contratado el desarrollo de tu web con una empresa externa, te recomendamos que hables con ellos en primer lugar para consultarles por un servicio de mantenimiento de la web. Si utilizas WordPress, puedes contratar el Seguro WordPress y nos ocupamos de actualizar y mantener tu web segura de forma constante. Además, incluye restauraciones con copias de seguridad semanales en caso de problemas.

Otras posibles causas son:

• Contraseña insegura o fácil de adivinar: por ejemplo, si pones un número de teléfono, contraseñas conocidas tipo 123456, etc. Te recomendamos que cambies tus contraseñas utilizando el asistente que viene en el panel de control. 
• Virus/troyanos en el equipo que conecta con el servidor. Instala un antivirus actualizado en todos los equipos que conectan con el servidor.
• Webs viejas utilizando Frontpage para la publicación, recuerda que los cgis ya no están soportados por microsoft y son causa de problemas.

¿Qué ha pasado con mi web, emails y configuraciones?

Tu cuenta ha sido suspendida en el servidor para evitar que el problema afecte a otros usuarios. En algunos casos puede que incluso se haya borrado para parar los procesos iniciados. Por motivos de seguridad, tu cuenta no puede volver a ser activada tal y como está ya que el problema persistiría.

Quedamos a la espera de que contestes el tiquet que te hemos enviado con el aviso.

Te ofrecemos 3 opciones:

1. Crear tu plan de hosting de nuevo quedando como el primer día de su contratación. Podrás restaurar utilizando tu propia copia de seguridad desde tu panel de control cPanel.
2. En caso de que no dispongas de copia, también puedes contratar la restauración de tu cuenta utilizando una copia previa: gracias a nuestra política interna de copias de seguridad dispondrás de copias de los dos fines de semana anteriores para restaurar de forma segura. Una vez tu cuenta esté restaurada, podrás actualizar, cambiar las contraseñas y tomar las medidas oportunas para evitar que suceda de nuevo.
3. Activar de nuevo el plan borrando todo el contenido web. Este método es el menos recomendado ya que pueden existir otros ficheros o accesos no autorizados a tus cuentas de email o bases de datos.

Se ha mejorado las funciones de auto-configuración para las nuevas cuentas de email, para que sea más sencillo de configurar en Outlook o Thunderbird.

El panel de control de tu plan de hosting, te permite realizar copias de seguridad siempre que quieras, completas, sólo de la base de datos, los filtros del email, etc.

Si has perdido algún dato de tu cuenta por error, o te han hackeado la cuenta, puedes restaurar siempre que tengas una copia previa.

1. Entra en tu cPanel,
2. Luego en la sección Respaldo
3. Restaurar un Respaldo del Directorio Home
4. Haz click en el botón Seleccionar archivo y busca la copia de seguridad que tengas en tu equipo local.
5. Click en de Cargar
6. La restauración tardará dependiendo del tamaño de los ficheros.

Semanalmente, realizamos copias de todas las cuentas, por lo que aunque no hayas hecho copia previa tendrás a tu disposición de forma gratuita una copia con todo el contenido. Puedes descargarla haciendo:

1. Entra en tu cPanel
2. Luego en la sección Respaldo
3. Click en el botón weekly

Luego puedes restaurar utilizando esa copia. Si lo prefieres también puedes contratar soporte adicional para que restauremos.

Para cualquier otra aclaración ¡contactanos!

La crisis nos está dejando muchas lecciones que aprender. Algunas nuevas, y otras viejas historias olvidadas en la gestión empresarial, por ejemplo el ya clásico de hacer copias de seguridad que todos sabemos y pocos hacen. Tareas repetitivas que se puede automatizar, pero que en mayor o menor grado siempre requieren de supervisión y atención humana.

No son divertidas, ni sexys ni cools, y por eso nadie se acuerda del paragüas hasta que truena. Sirva este post de advertencia para perezosos.

• Ejemplo, la trabajadora en baja por depresión: hace unas semanas, nos pasó un caso donde la persona encargada de la gestión del dominio y el hosting, estaba tratando de negar el acceso a la empresa en cuestión. Cambiaba contraseñas casi a diario, y en general molestaba enviando emails amenazantes sobre los derechos que pensaba había adquirido por registrar el dominio a nombre de la empresa donde estaba trabajando. Si la persona que gestiona las contrataciones se toma una baja o despido ¡cambia todas las contraseñas antes! Crea también un documento donde definas qué personas tienen acceso a determinados datos, con varios niveles de responsabilidad. En el futuro te evitará muchos problemas, y si eres una sociedad SL, SLU o SA ¡no es opcional! es obligatorio para el cumplimiento de la ley de protección de datos.

• Ejemplo, el informático desaparecido: la crisis aprieta en todos los sectores, entiendo que haya empresas que busquen la mejor opción en el mercado. Pero contratar al amigo de tu vecino que hace webs no tendría que ser una opción en el entorno empresarial. Nada evita que de un día a otro el informático desaparezca de la faz de la tierra, se evaporice, y te encuentres con que no tienes acceso a tu propio correo. Hay miles de empresas serias y profesionales que te pueden hacer una web efectiva, sí, te saldrá más caro porque ellos tienen menos margen, ¡tienen que pagar impuestos por todo! tu a cambio obtendrás una garantía de servicio, y en caso de problemas tendrás una factura que podrá demostrar que tu dominio es realmente tuyo.

• Ejemplo, el informático maltratado: la informática en general está poco valorada en España, cualquiera puede dar golpes en el teclado y llamarse a sí mismo informático. Hay mucha competencia desleal, y eso hace que el que realmente dedica su vida profesional a la informática acabe quemado de oir frases como la de más arriba del amigo del vecino. Si tienes la suerte de contar en tu empresa con un buen informático, aquel que te soluciona los problemas sea a la hora que sea, y que se ha implicado durante años en tu empresa, trátalo bien si tienes que prescindir de él. Es de buena educación, y además ¡tiene acceso a todos tus datos! Aprende a hacer copias de seguridad antes de despedirlo, reúne todos los accesos que vayas a necesitar. Y si no queda otro remedio para reducir plantilla, explícale bien la situación y sobretodo pagale lo que le debas.

• Ejemplo, el cliente maltratado: tendría que ser parte de la política de seguridad de tu empresa, el garantizar el buen trato con los clientes. En el mercado altamente competitivo en el que nos movemos, cobrar 10 veces más por el mismo producto o servicio deja de ser una máximización de los recursos y pasa a ser tener la cara muy dura. No trates a tu cliente como si fuera tonto, tiene las herramientas necesarias para buscar otra alternativa. Y además ahora tiene el tiempo necesario puesto que el ritmo de trabajo será menor. Lo tiene ahí, a un sólo click. Ofrécele un servicio profesional con un precio ajustado al segmento en el que te quieras posicionar. No compitas en precio con cualquier nueva empresa que surja, no caigas en lo fácil. ¿Cómo vas a explicarle esa factura de 300€ por registrar un dominio?

En general, todas las medidas explicadas se resumen en tratar a la gente como personas, haremos un mundo mejor si prestamos atención a los pequeños detalles.

¿Quién no se ha preguntado alguna vez si su contraseña no es segura?, esta es una pregunta tan típica cómo obligada teniendo en cuenta que es a menudo la única puerta que separa a la gente de nuestra información más confidencial y es que cómo bien dice la wikipedia una contraseña es una forma de autenticación que utiliza información secreta para controlar el acceso hacia algún recurso.

Pero, ¿Que debemos entender por contraseñas seguras?
A mi modo de entender podemos asegurar que una contraseña es fuerte cuando contiene letras mayúsculas y minúsculas y un mínimo de 8 carácteres, sin embargo para Microsoft una contraseña segura debe tener como mínimo:

• 1 minúscula (a)
• 1 mayúscula (A)
• 1 número (0)
• 1 símbolo (@)

Y una longitud MÍNIMA de 8 carácteres
Siendo así ‘P@ssw0rd’ el ejemplo ideal.

• Lamentablemente en muchos de los sistemas que utilizan una contraseña no se admiten símbolos, o sólo se pueden introducir un número limitado de caracteres, como 6 ú 8, e incluso los hay de sólo 4.

Un usuario nos explicó su truco para sacar contraseñas largas y luego poder acordarte de ellas… el truco no utiliza símbolos y la longitud de las contraseñas puede ser variable por lo que reune dos de las características que necesitamos.

El truco es hacerlo a partir de nombres de pelis, canciones, libros, versículos de la biblia, frases hechas…

Por ejemplo, se puede sacar la segunda y penúltima letra de:

«Más vale pájaro en mano que 100 volando»

ááalarneanuuod

• Con una pequeña transformación nos queda (Alternar mayúsculas y minúsculas):
  • ÁáAlSrNeAnUuOd
• Y añadiendo el número
  • ÁáAlSrNeAnUu10Od
• Claro, siempre se puede aplicar la misma regla al número:
  • ÁáAlSrNeAnUu0Od
• Y por dar un último quiebro cambiamos un cero por una C:
  • ÁáAlSrNeAnUuCOd
• Aunque bueno, bién pensado, se puede añadir al principio un «más vale» de forma simbólica:
  • +>ÁáAlSrNeAnUuCOd

Como todo, esto es una forma, pueden hacerse miles de formas, usando diferentes trucos y tranformaciones, también, se pueden dar más pasos o menos, en función del gusto, y como en Bricomanía, aquí el toque personal cuenta mucho.

Bueno, de nada sirve todo esto, si apuntamos la contraseña en un papel, y nos olvidamos el papel en el peor lugar que se nos pueda olvidar.

A primera vista el método puede parecer un tanto enrevesado e incluso absurdo pero es muy seguro ya que nos evitará sufrir alguno de estos típicos ataques:

• Fuerza Bruta: Es la razón más común por la cual los administradores obligan a colocar largas contraseñas con números, se trata de recuperar una clave probando todas las combinaciones posibles de caracteres hasta encontrar aquella que permite el acceso.
• Ataque diccionario: Un ataque del diccionario consiste en el intentar de “cada palabra en el diccionario” como contraseña.
• Keyloggers: El keylogger es un diagnóstico utilizado en el desarrollo de software que se encarga de registrar las pulsaciones que se realizan sobre el teclado, para memorizarlas en un fichero o enviarlas a través de internet.
• Mirada ajena: Cuando cualquier persona conocida o no trata de ver que has tecleado y de este modo averiguar tu contraseña.Conclusión

Cómo se puede ver el truco propuesto evita cada uno de estos ataques, el primero de ellos el de fuerza bruta dependerá de la longitud de la semilla tomada… el ataque diccionario será inútil debido a que nuestra contraseña final no se parecerá en nada a cualquiera de la de los diccionarios, los keylogger no seran un problema porque al teclear nuestra contraseña seguramente lo hagamos siguiendo los paso de la creación y algún momento utilizaremos el ratón para cambiar la posición del ratón (Los keylogger no registran las acciones del raton) y por último si alguien intenta averiguar mirando que es lo que tecleas es muy díficil que pueda recordar lo que has introducido debido a su complejidad.

SPF (del inglés Sender Policy Framework) es una protección contra la falsificación de direcciones en el envío de correo electrónico. Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. Este convenio puede significar el fin de abusos como el spam y otros males del correo electrónico.

El envío SMTP entre servidores

Cuando se envía un correo desde un programa cliente de correo electrónico, éste conecta con un servidor SMTP (a través del puerto TCP25) al que le deja el mensaje para su envío a una o varias cuentas de correo destinatarias. Este servidor (servidor del remitente) es el encargado de conectar con el servidor donde está alojada la cuenta de correo del destinatario (servidor del destinatario) y de transmitir el mensaje para su almacenamiento y posterior descarga por el destinatario.

En el protocolo SMTP, obviamente, es imposible tener autenticación acordada entre todos los servidores de correo. Este inconveniente permite que cualquier servidor remitente pueda identificarse como el transportista en origen de un nombre de dominio. Esto lo aprovechan los suplantadores de identidad de direcciones de correo electrónico para llevar a cabo su fin.

En el envío de correos no solicitados (spam) y otras malas artes como el phishing o envío de virus por correo, en casi la totalidad de los casos, interesa ocultar el remitente real o utilizar una dirección que al cliente le podría resultar familiar o confiable.

Un primer intento de controlar esta laguna técnica es el seguimiento de la ruta de direcciones IP por las que se envía el correo, de tal manera, que se mantiene unas listas de IP’s de servidores que envían correos falseados (listas negras). Esto, aparte de requerir un proceso manual por parte del destinatario, tiene efectos no deseados sobre otros usuarios del servidor que envían correos «reales».

La solución SPF para evitar falsas identidades

SPF extiende el protocolo SMTP para permitir comprobar las máquinas autorizadas a enviar correo para un dominio determinado. La idea es identificar las máquinas autorizadas por su dirección IP, y que esta identificación la haga el responsable del dominio que recibirá el correo.

Una aproximación a la solución podría suponer que el remitente del correo, hace los envíos desde la misma máquina que los recibe. Como se puede resolver la dirección IP a donde se enviarían correos al remitente a través del registro MX del servicio DNS (RMX, del inglés Reverse MX), si esta dirección coincide con la que genera el envío, se puede entender que es el remitente real. Pero esta suposición no siempre es cierta, especialmente en grandes proveedores de soluciones de correo como Yahoo!, Hotmail, o GMail.

Otra propuesta, la DMP (Protocolo de Servidores de Correo Identificados, del inglés Designated Mailer Protocol), consiste en que los proveedores de servicios de internet identifiquen las máquinas responsables del envío del correo. Esta solución es válida, pero para que sea efectiva requiere que todos los proveedores la adopten e implementen.

Como mezcla de estas dos propuestas, surge la idea de usar registros DNS para identificar las máquinas autorizadas para envío de correo (sean del proveedor de servicios de internet que sean). Esto es lo que se propone en la solución SPF.

SPF en honesting.es

Para activar SPF de forma gratuita en tu cuenta alojada en honesting.es entra en tu cPanel en la sección Autenticación de e-mail.

SPF no garantiza que tu dirección de email o IP no sea añadida en una lista negra, o sea identificado como spam si se realiza abuso o envios no solicitados, haz un buen uso de la tecnología para mantener Internet limpia 😉

Otras opciones

También puedes activar DomainKeys Identified Mail (DKIM), un mecanismo de autenticación de correo electrónico que permite la validación por el destinatario