logo El código abierto
y su importancia
en la empresa
Antispam El esfuerzo distribuido da resultados óptimos

Volumen 1, #2, Viernes 24 de agosto de 2007

Realtime Blackhole Lists (RBL)

Usualmente los emisores de SPAM, se ocultan tras una falla muy común en la mayoría de los servers conectados a internet, los que pasan por alto un pequeño ajuste en los sistemas de correo.

Open Relay

Originalmente las máquinas en el Internet de los 60's, 70's y 80's, eran todas Open Relay, porque los emails iban en relevo de una a otra hasta su destino final. El concepto de Open Relay era de "ayuda a la comunidad". Pero ante el Spam, el Open Relay se volvió un problema a la seguridad y a la privacidad.

En su origen, los emisores de spam directamente enviaban su correspondencia, pero en muy corto tiempo, sus direcciones de correo fueron bloqueadas. Luego falsificaron sus direcciones de correo, pero su dirección IP (dirección de internet física, ej. 189.265.33.66) seguía siendo la misma, así es que sus direcciones IP también fueron bloqueadas. Finalmente, los Spammers o enviadores de correo no solicitado, aprovecharon una "ventana" abierta en el internet: Los OPEN RELAYs, que son los MTA (mail transport agent, los que físicamente transmiten los mensajes de email)pero configurados para pasar emails no solo del interior de la red local de ese server, sino de otras redes externas que desearan enviar mails por relevo en esos MTA. El que un MTA esté configurado para permitir relevos (open relay) o no, es decisión del administrador de la red, pero no siempre este administrador está muy al tanto de estos pequeños detalles, a menos que su capacitación como tal haya considerado este tópico.

Cuando un MTA está funcionando como Open Relay, el Spammer lo utiliza para "sembrar" ahí sus mensajes y hacerlos llegar a los destinatarios con otra dirección IP distinta a la suya.

Esta situación, dio origen a las RBL's, las cuales

  • están ONLINE
  • son iniciativas Open Source
  • son accesibles por cualquier persona
  • son alimentadas con muestras de Spam recibido
  • son gratuitas para usar, aunque siempre solicitan donativos voluntarios para sostener el servicio

De modo que cuando recibas un mail de spam, lo mejor que puedes hacer es darle forward hacia un RBL.

¿Dónde están los RBL's?

Hay varios, aunque SpamCop (SpamCop.net) ha sido el más aceptado por su eficiencia y rapidez para atacar spam. En http://www.robtex.com/ tienes una forma muy sencilla de buscar si una dirección IP está listada como generadora de spam o más genéricamente como Open Relay (que sirve como puerta para meter Spam al internet). Verás que hay una cajita hasta arriba a la izquierda con la tecla "go". Ahí escribes una dirección IP (tu dirección IP te será mostrada al entrar a este sitio) y presionas "Go", lo que te mostrará un listado de los más importantes RBL (listas negras) y el estado en que se encuentra tal dirección IP que proporcionaste.

¿Cómo se usan los RBL's como SpamCop?

Trabajan de la forma más eficiente. Tu servicio de correo debe usar un RBL. Si no lo usa, debes cambiar de servicio. Si tu dirección IP física (la de tu Modem DSL o la que te asigna tu servicio de manera temporal mientras te conectas) está en lista negra, no te preocupes (el registro es temporal, que borrará tu dirección si no hay quejas por al menos 24 horas), siempre puedes transmitir tus mails a través de tu servicio de internet que maneja dirección diferente y usualmente no está en lista negra o RBL. También puedes contratar servicios de hosting que te ofrezcan RBL de manera explícita (como nuestros servers) o incluso las cuentas de Yahoo y similares que se manejan vía Web, vienen con Antispam, RBL, etc; cuando transmites desde ellas tu dirección física no figura para el destinatario y por tanto su RBL no te bloqueará.

En la entrada de e-mails de tu servicio, hay un programa que analiza cada email. Si la IP del mail que llega está en un RBL, el mail es rechazado y se evita la sobrecarga en el tráfico de la red de tu servicio.

El 25 de enero de 2005, fue necesario introducir el RBL SpamCop en nuestros servers (Energiash.com, PuertasInfinity.com, GrupoInfinity.com, Aleamet.com y otros), porque el ataque por Open Relays era muy intenso, con más de 35,000 mensajes en fila de espera. tal como puede verse en la siguiente gráfica, antes y después de introducir el RBL

Claramente puede observarse cómo el trabajo de los servers de correo bajó drásticamente luego de quitárseles tanta basura (spam).

Yo sigo recibiendo spam

Los spammers a los que les son bloqueadas sus direcciones de "relevo" en los Open Relays, siempre hallan más direcciones "vírgenes" desde dónde continuar mandando sus Spams. Quienes ya hemos mandado muestras de spam a SpamCop, notamos la baja inmediata del Spam, pero meses más tarde, el spam vuelve a subir. Lo que significan ataques desde nuevas direcciones Open Relay, por tanto hay que continuar reportando más muestras de spam. a SpamCop.

La ventaja de usar SpamCop con respecto a otros mecanismos antispam basados en la PC donde trabajamos, es que nuevamente el principio de OpenSource prueba su eficacia, ya que un mail spam enviado a SpamCop me beneficia a mi y a todos los usuarios del mismo servicio donde manejo mi correo. Mientras que el mismo mail spam reportado a la lista privada de la empresa que me vendió el software antispam para mi PC, sólo beneficia a los que pagamos ese software, lo que hace el contra-ataque más lento y no ayudo a mi empresa o a la empresa donde trabajo.

Adicionalmente, la velocidad a la que crecen las bases de datos SpamCop es mucho mayor que cualquier base de datos privada o de paga (tal como la Wikipedia y Wikimedia en su conjunto y en muchos más idiomas, crece más rápido que la Encyclopædia Britannica), lo que da a los usuarios mucha mayor protección en más corto tiempo.

SpamCop da soporte a cientos de miles de servers de manera casi gratuita. El único apoyo económico es por donativo. Los servers que usan SpamCop atienden a su vez a muchísimos usuarios. Un usuario que reporte a SpamCop cualquier spam, se beneficia a sí mismo, a otros miembros de su misma empresa y a gente que ni conoce en otras partes.

¿Cómo reporto spam a SpamCop?

  • Abres una cuenta de manera gratuita en SpamCop
  • Se te darán las instrucciones para enviar tus mail que son básicamente 2 formas:
    • Copias el código fuente del email (quizá tu programa de correo te lo permita, pero este es el camino más complicado), lo pegas en la página de SpamCop y presionas enviar.
    • Alternativamente, en esa misma página se te da una dirección de email a donde puedes dar "forward" a cada mail con spam que recibas. Debes hacerlo el mismo día que lo recibes de lo contrario SpamCop no lo acepta.
  • SpamCop te manda un mail de confirmación al que tienes que dar reply o responder sin hacerle ningún cambio ni escribirle nada
  • Listo, la dirección IP del Spammer quedará registrada en SpamCop

Herramientas Adicionales

Para todos esos mails con spam que salen de Open Relay's no registrados en RBLs, existen post-filtros como el SpamAssassin que usan criterios ya maduros de detección de spam. Este sistema también es OpenSource y está en nuestros servers pero deshabilitado por default. En caso de que tengas una situación incómoda de spam, el mecanismo correcto de trabajo es que reportes primero al RBL y esperar unos días a detectar la baja de spam. Luego esperar una futura alza y en ese momento activar el SpamAssassin en modo de monitoreo de Score, para que una vez ajustado el score mínimo lo pases a modo de borrado y dejes de recibir spam. Además SpamAssassin está equipado con listas blancas para remitentes que no deben ser evaluados como spam, hablen del tema que sea.

Conclusión

Lo mejor es filtrar espam FUERA DE TU PC, que tu PC no haga el trabajo sucio de limpiar spam o de analizar emails. Para eso ya hay tecnología muy desarrollada que consume tiempo de proceso en la entrada de correo del servicio donde tienes contratado tu server de email. El esfuerzo de notificar casos de spam a SpamCop está mundialmente difundido y por uno que tú reportas, se reportan millones el mismo día, de modo que ya existe una policía antispam (SpamCop) que está tras tantísimos casos de Spam, pero también cuentas con herramientas como SpamAssassin para aquellos casos que se llegasen a escapar. La baja de spam es notable cuando un sistema de RBL como SpamCop entra en funcionamiento a la entrada de un server de correo que atiende a miles de usuarios.


Apdo. Postal 321, C.P. 76800. San Juan del Río, Qro. México. (427)-271-2003
ESH Powered by Energia SH