ICANN retira la acreditación de registrador a EstDomains

Parece que la ICANN se está empezando a tomar las cosas en serio. Acaba de retirar la acreditación de registrador a EstDomains, como se puede ver en esta nota:

http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf

EstDomains es un agente registrador que tiene registrados más de 240.000 dominios según WebHosting.info, mediante el cuál se registra(ba)n numerosos dominios para el envío de spam y diversos fraudes a través de Internet. Un informe más completo se puede encontrar en:

http://www.f-secure.com/weblog/archives/00001522.html

En dicho artículo se comenta la relación de EstDomains con Atrivo (también conocido como Intercage), ISP que ha sido noticia recientemente debido al cese del peering con ellos de otros ISPs americanos como UnitedLayer, que cansados de intercambiar tráfico con un ISP dedicado a las «malas artes», decidieron poner fin a ello.

En resumen, bien por la ICANN!

Plugin para qmail

Procedo a «liberar» un plugin que hice hace unos meses para qmail mediante el cuál, se puede realizar un rate limit de los emails que envía una cierta dirección.

El proceso consiste en guardar en una tabla en MySQL las direcciones que qmail va «viendo». Existe otra tabla en la que se guarda el valor por defecto que se le quiere dar al límite (por ejemplo, 100 mensajes) y si se llega a dicho límite en un rango de tiempo (por defecto, en 1 hora) el mensaje es rechazado a nivel de SMTP temporalmente.

Existe también la posibilidad de poner límites diferentes para determinadas direcciones; por ejemplo, alguna persona que por X razón legítima necesite enviar más correos.

Además, existe una lista blanca para IPs a las cuáles no aplicar dichos límites. Por ejemplo, si tenemos unos relays de entrada.

Qmail debe estar parcheado con SPP para poder usar este plugin. Por ejemplo, el qmail de Plesk viene de serie ya parcheado, por lo que no hay más que copiarlo en /var/qmail/plugins/ y añadirlo en el archivo /var/qmail/control/smtpplugins.

En la siguiente URL puede ser descargado:

http://postmaster.hostalia.com/rate_from

Comportamiento curioso de algunos spammers

Desde hace tiempo, 3 o 4 meses, vengo observando un comportamiento curioso por parte de algunos spammers. Se ve claramente en la siguiente imagen:

RBLs

La línea rosa es nuestra RBL, rbl.dns-servicios.com, y el resto de líneas se corresponden con otra serie de RBLs o Rate Limits. Como se ve, existen una serie de picos (bastante notables) de emails rechazados, que siempre suelen darse a mitad tarde. El resto del día, la actividad es normal.

Sigue leyendo

Los contactos del WHOIS

Tras un rediseño del sistema de notificaciones enviadas cuando una IP cae en nuestra lista negra RBL.DNS-SERVICIOS.COM, ahora el mensaje incluye una de las evidencias por la cuál ha sido listada. Con ella el ISP responsable de dicha IP podrá buscar el origen del mensaje de spam. Por ejemplo:

http://rbl.dns-servicios.com/ids/evidence.txt

Es curioso, no obstante, el «desastre» con el que uno se encuentra al enviar mensajes de este tipo a los contactos que aparecen en el WHOIS de las IPs:

mail.local: /var/mail/f/fkchung: Disc quota exceeded

Authentication required (in reply to MAIL FROM command)

Relay access denied (in reply to RCPT TO command)

Database disk quota exceeded

The user(s) account is temporarily over quota.

Reason: Over quota

Unable to deliver message to the following recipients, because
the message was forwarded more than the maximum allowed
times. This could indicate a mail loop.

Recipient address rejected: User unknown in local recipient
table (in reply to RCPT TO command)

Command rejected (in reply to end of DATA command)

Los hay incluso mejores, que pasan directamente de lo que pueda haber o salir de sus redes:


We would point out that, within its activity as a provider of
electronic communication services, XXXX merely provides its
clients with access to the Internet, which entails the activity
of simply transporting information over the network.

No obstante, también se reciben comentarios de agradecimiento por la información facilitada. Por ello y por ayudar a la erradicación de estas fuentes de spam, seguiremos con esta política.