Rspamd: blindaje contra el spam para tu empresa

Introducción: el spam sigue siendo un reto (y caro)

Cuando empecé a ayudar a clientes a fortalecer su ciberseguridad, el correo electrónico siempre aparecía como el talón de Aquiles. A pesar de todas las promesas de las suites “todo en uno”, hoy casi la mitad del tráfico global de correo sigue siendo spam – un 48 % en 2025, según datos recientes de Statista y mailmodo. Detrás de ese alud de basura llegan estafas de paquetería, facturas apócrifas, links a malware y, por supuesto, campañas de phishing que burlan filtros básicos. En México lo vivimos a diario: basta que un colaborador abra un adjunto malicioso para que un ransomware cause el caos contable de fin de mes.

Por eso en Syscore apostamos por Rspamd, un filtro de correo 100 % open-source, ligero y con la misma artillería técnica que ofrecen fabricantes cerrados (pero sin costos de licencias ni ataduras). Hoy quiero contarte qué lo hace especial, cómo lo integramos en nuestra oferta MSSP y por qué puede significar la diferencia entre una bandeja limpia y un incidente caro.

¿Qué es Rspamd y por qué lo elegimos?

Rspamd nació como reemplazo moderno de SpamAssassin y ha evolucionado de forma acelerada: su última versión 3.12.1 (17 jun 2025) incorpora mejoras de rendimiento y seguridad. A grandes rasgos, ofrece:

  • Arquitectura basada en eventos que procesa miles de mensajes en paralelo sin saturar CPU
  • Módulos en Lua: reglas flexibles que podemos reescribir para cada cliente.
  • Motor estadístico Bayes + redes neuronales entrenado con tu propio tráfico.
  • Fuzzy hashing para detectar campañas masivas aunque los correos cambien un par de líneas.
  • Validación SPF, DKIM y DMARC de serie.
  • Integración nativa con Postfix, Exim, Sendmail o como Milter transparente
  • Dashboard web, API REST y soporte de métricas Prometheus/Grafana.

En el laboratorio de Syscore medimos que un servidor virtual básico (4 vCPU, 8 GB RAM) con Rspamd y Redis procesa hasta 250 000 mensajes/hora sin problema. Esa eficiencia se traduce en facturas de nube más bajas y una latencia casi imperceptible para el usuario final.

Cómo funciona Rspamd bajo el capó

  1. Recepción vía Milter o Proxy
    El mensaje entra al MTA (p. ej. Postfix) y pasa a Rspamd a través del puerto milter (por defecto 11332).
  2. Análisis multicapa
    • Listas negras DNS y SURBL para cotejar IP y URLs.
    • SPF/DKIM/DMARC: si el dominio falla, suma puntos negativos.
    • Expresiones regulares y heurísticas para detectar vocabulario típico de estafas.
    • Bayes + redes neuronales que aprenden del correo que tú marcas como spam o ham.
    • Fuzzy hashing que compara la “huella” del mensaje con bases de campañas anteriores.
  3. Asignación de puntaje
    Cada “símbolo” añade o resta puntos. Con las políticas por defecto, un correo se greylist a 4 puntos, se etiqueta a 6 y se rechaza a 15 puntos docs.rspamd.com.
  4. Acción y retroalimentación
    El MTA actúa (aceptar, añadir cabeceras o rechazar) y los usuarios pueden reentrenar el motor con un simple “Mover a spam” en su cliente IMAP gracias a IMAPSieve.

El resultado práctico es un filtro autoadaptativo: cuanto más lo uses, mejor reconoce los patrones únicos de tu empresa.

Beneficios concretos para empresas mexicanas

  • Costo total de propiedad bajo: sin licencias por buzón y con recursos mínimos.
  • Transparencia y auditable: código abierto; en una auditoría puedes demostrar exactamente qué reglas bloquean un mensaje.
  • Protección legal ante fraudes: rechazar correos que violen DMARC ayuda a cumplir controles de norma ISO 27001 o PCI.
  • Escalabilidad rápida: basta añadir nodos Rspamd y un Redis replicado (Sentinel) para soportar picos de temporada.
  • Visualización en tiempo real: con Prometheus/Grafana ves, por dominio, cuántos correos se bloquearon y por qué símbolo.

Ataques reales que Rspamd habría frenado

Campaña FedEx “paquete retenido” (2025)
Correos con logos oficiales pedían un pago vía tarjeta para liberar un envío. La URL real apuntaba a un dominio .app sin HTTPS. Rspamd detecta la mala reputación del dominio y, si configuramos reglas SURBL, bloquea el mensaje antes de que el usuario vea el botón “Pagar”.

rspamd

Fraude de paquetería fantasma en CDMX (2024, +222 % de casos)
Delincuentes suplantaban a DHL y Amazon, exigiendo depósitos para “liberar” paquetes elpais.com. Con Rspamd podemos crear un mapa de expresiones regulares que marque como spam cualquier correo con la combinación “liberar / paquete / aduana / pago” más dominios no oficiales, reduciendo drásticamente el vector.

Phishing BEC (fraude del CEO)
El atacante registra tu-empresa.mx con una “u” acentuada. Rspamd valida DMARC y aplica un módulo de similitud de dominios; el mensaje suma >15 puntos y se rechaza automáticamente.

Nuestro enfoque MSSP con Rspamd

Como proveedor gestionado, en Syscore no solo instalamos el software y nos vamos: lo operamos.

  1. Diseño e instalación
    • Clúster Rspamd + Redis en alta disponibilidad.
    • TLS interno y autenticación de la API.
    • Dashboards con métricas “business friendly”.
  2. Reglas a la medida
    Personalizamos listas blancas y negras, pesos Bayes y símbolos para que, por ejemplo, tus ERP internos nunca se bloqueen.
  3. Actualizaciones y hardening
    Monitorizamos el changelog (la rama stable publica parches mensuales) y aplicamos cambios fuera de horario productivo.
  4. Correlation con el SOC
    Si Rspamd bloquea un adjunto ofuscado, nuestro SIEM levanta alerta y rastreamos si otros vectores (web, endpoint) intentan la misma amenaza.
  5. Reportes ejecutivos
    Cada mes obtienes un informe: spam detenido, top remitentes maliciosos, ahorro de ancho de banda y recomendaciones de políticas.

Buenas prácticas que potencian a Rspamd

  • Política DMARC “reject”: Rspamd la hace cumplir, pero el registro DNS debe existir.
  • Capacitación continua: un clic en “reportar phishing” alimenta el Bayes.
  • MFA y permisos mínimos: si un correo pasa, el daño se limita.
  • Simulaciones de phishing: medimos la tasa de clics y reforzamos capacitación.
  • Backup y restauración automática de Redis: mantén la base estadística a salvo.

Conclusión: open-source ≠ inseguro

Los números no mienten: 160 000 millones de correos spam se envían cada día y 46 % del tráfico global sigue siendo basura. La buena noticia es que herramientas comunitarias como Rspamd ofrecen la misma o mejor protección que muchas alternativas propietarias, con la ventaja de la transparencia y la flexibilidad. En Syscore creemos que la seguridad debería ser abierta, accesible y gestionada por expertos. Si el correo sigue siendo tu principal vía de negocio, blindarlo contra el spam es blindarlo contra pérdidas financieras, daño reputacional y horas improductivas.

¿Listo para ver tu bandeja libre de basura y tu SOC respirando tranquilo? Hablemos. En menos de dos semanas podemos tener un clúster Rspamd en producción, afinado a tu flujo de correo y respaldado por nuestro equipo. Porque, al final, la mejor seguridad es la que trabaja sin que te des cuenta.

Anterior

Qué es un SIEM y 5 beneficios para tu empresa

Shuffler: Automatización y orquestación

Siguiente

Servicios Gestionados de TI MSP

Empresa de TI

Distribuidor CONTPAQi

Servidores de correo

Seguridad Gestionada MSSP

Ciberseguridad

Servicios de ciberseguridad

Pentest

Seguridad de la nube

Syscore

Empresa de ciberseguridad

Atendemos en México y EUA.

Nos ubicamos en Ciudad Juárez Chihuahua.

Empresa de ciberseguridad en México

Política de privacidad

Linkedin Twitter Facebook

Lunixar SaaS: RMM para proveedores y departamentos de TI