Síntomas
Detectas, generalmente desde cPanel > Correo > Reenviadores de correo electrónico, un reenviador apuntando a una dirección externa que tú no conoces (p. ej. una cuenta de Gmail con un nombre extraño). Esto suele aparecer porque empiezas a notar que parte de tu correo no llega como antes, o porque revisas la configuración por otro motivo.
Qué significa
La creación de un reenviador sin tu permiso es un indicador claro de que la contraseña de esa cuenta de correo está comprometida. No es un problema del servidor ni un fallo de seguridad de Tropical Server: en la inmensa mayoría de casos, alguien ha conseguido la contraseña de tu cuenta de correo y ha accedido a través del Webmail para crear el reenvío y recibir copia de tus correos a una dirección controlada por él.
Es una técnica de robo de información discreta: a diferencia del envío masivo de spam, un reenvío silencioso no genera rebotes ni alertas inmediatas y puede pasar desapercibido durante meses.
Cómo se obtienen las contraseñas
Las contraseñas no se obtienen del servidor (están cifradas y nadie tiene acceso a ellas en texto claro). Los vectores habituales son:
Equipo del usuario infectado con malware o keylogger que captura las contraseñas escritas.
Phishing: el usuario introduce su contraseña en una web que imita el Webmail.
Reutilización de la misma contraseña en servicios externos que han sufrido una filtración.
Contraseñas débiles o por defecto, vulnerables a ataques de diccionario.
Cómo confirmarlo
En los logs del servidor se puede ver el acceso vía webmail desde una IP extraña (a menudo de otro país). Por ejemplo, una entrada del log tipo:
X.X.X.X proxy info%40dominio.com [fecha] "POST /cpsess.../webmail/jupiter/mail/doaddfwd.html HTTP/1.1" 200
indica que se ha creado un reenviador para esa cuenta desde una IP determinada. Si sospechas y necesitas confirmar la fecha, IP y origen, podemos extraer el log relevante desde soporte.
Pasos urgentes
Elimina el reenviador inmediatamente desde cPanel > Correo > Reenviadores de correo electrónico.
Cambia la contraseña de la cuenta de correo afectada y elige una contraseña robusta (mínimo 14 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos, no reutilizada).
Revisa también los filtros de correo de esa cuenta (cPanel > Correo > Filtros de correo electrónico): a veces, en lugar de un reenviador, crean un filtro que copia los emails entrantes a una dirección externa.
Revisa las reglas de autorrespuesta, por si han colado alguna que filtre información.
Comprueba si esa misma contraseña la has usado en otros servicios y cámbiala también ahí.
Limpieza del equipo
Cambiar la contraseña no sirve de nada si el dispositivo desde el que se filtró sigue infectado: la próxima vez que la introduzcas, volverán a robarla. Por eso:
Pasa un antimalware en profundidad a todos los equipos donde uses esa cuenta de correo (no solo el principal). Recomendamos Malwarebytes en su versión de pago, que detecta mejor amenazas modernas que muchos antivirus gratuitos.
Revisa también el móvil si lo usas para correo, aunque ahí los vectores son menos frecuentes.
Si tienes equipos compartidos, considera hacer un análisis completo de todos.
Medidas preventivas
Contraseñas robustas y únicas por cuenta.
No abrir adjuntos sospechosos ni hacer clic en enlaces de correos no solicitados.
Mantener el sistema operativo y el navegador actualizados.
Considerar el uso de un gestor de contraseñas que genere claves complejas distintas en cada servicio.
Si gestionas varias cuentas, repasa periódicamente la sección de reenviadores y filtros de cada buzón.
Qué hace Tropical Server desde su lado
Cuando detectamos o confirmamos un reenviador no autorizado, podemos añadir a la lista negra la IP de origen del acceso. Esto frena ese intento concreto pero no impide que se intente de nuevo desde otra IP si la contraseña sigue comprometida. La medida realmente eficaz es la del cliente: cambiar la contraseña y limpiar los equipos.