Te llega la alerta — o peor, un aviso de lista negra: la cola de correo saliente de un servidor está subiendo. Cientos de mensajes, luego miles. Una cola que crece sola rara vez es el servidor de correo ahogándose; casi siempre es algo generando correo que no debería existir — un buzón comprometido disparando spam a través de tu servidor con credenciales perfectamente válidas.
Y el reloj corre. Cada minuto que envía, tus IPs se acercan a una lista negra de la que cuesta días salir, y que arrastra con ella a todos los clientes legítimos de ese servidor.
La cola es el síntoma, no la enfermedad
Reiniciar Exim o vaciar la cola se siente como avanzar y no arregla nada — la fuente la vuelve a llenar. Las dos preguntas que importan son: quién está inyectando este correo y cómo lo cortas sin tumbar el email de todo el servidor con él.
Paso 1: nombra al emisor, no solo el volumen
Abre el AI Assistant y dilo directo:
La cola saliente de este servidor está explotando. ¿Quién está enviando?
Ejecuta mail.queue (tamaño, antigüedad, destinatarios top) y mail.sender_report (qué usuario autenticado envió qué), y el cuadro aparece en segundos: 4.800 mensajes en cola, el 96% autenticados como info@example.com, abriéndose hacia destinatarios de cientos de dominios a los que esta cuenta no ha escrito jamás. Eso no es un boletín que salió mal. Es un buzón secuestrado.
El cómo casi siempre es aburrido — una contraseña reutilizada de un sitio que sufrió una filtración, o un phishing convincente. Las credenciales son válidas, así que cada filtro de salida deja pasar el correo como un envío autenticado legítimo. Por eso el volumen por sí solo nunca lo encuentra: hay que mirar quién se autenticó, que es justo el reporte que el Assistant saca primero.
Paso 2: frena la fuga y cierra el agujero
Dos movimientos, en orden — y el Assistant propone ambos:
- Corta la fuente. Resetea la contraseña de
info@example.com. Eso mata al instante la sesión autenticada del atacante — no se puede inyectar más spam. - Drena el daño. Retén y purga el spam que sigue en la cola (
mail.queue_action), para que el correo legítimo siga fluyendo y tus IPs dejen de enviar.
Como esto cambia el servidor, se detiene en el gate de aprobación: el buzón exacto, la acción exacta, mostrados antes de que nada se ejecute. Pulsas aprobar; la contraseña rota, la cola se drena, la fuga se detiene. Minutos — no la media hora de entrar por SSH, filtrar los logs de Exim por usuario autenticado y resetear una contraseña desde el panel mientras la cola sigue subiendo.
Paso 3: avisa al cliente — sin el trabajo manual (próximamente)
Resetear la contraseña deja al cliente fuera de su propio buzón, así que ahora le debes un mensaje: tu cuenta fue comprometida, la aseguramos, esto es lo que tienes que hacer. Escribir eso — con calma, con las nuevas credenciales y los pasos para volver a configurar la cuenta en el teléfono — es una pequeña tarea en sí misma, y la repites cada vez.
Próximamente: conecta CentralHost con tu WHMCS y este último paso se redacta solo. Cuando el Assistant resetea un buzón comprometido, abre un ticket listo para enviar en la cuenta del cliente correcta — resumen del incidente, qué cambió, los pasos para él — y te lo entrega para que lo edites y envíes. Mantienes el control de la redacción y del momento en que sale; CentralHost solo te quita la página en blanco.
El patrón
Una cola disparada es uno de esos incidentes donde el arreglo es trivial y el triaje es todo el costo — encontrar cuál de N buzones se volvió hostil antes de que tu reputación de envío pague la cuenta. CentralHost lo comprime de punta a punta: la fuente nombrada en segundos, el arreglo a una aprobación de distancia y — pronto — el correo al cliente escrito antes de que siquiera lo busques.