Reportar como spam != desuscribir

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de «reportar como spam» para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo «peligroso».

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de «reportar como spam» no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

Sigue leyendo

ARF – Abuse Reporting Format

Supongo que para muchos el asunto no dice mucho, pero a modo de resumen, ARF (Abuse Reporting Format) es un formato que deberá ser estándar en breve (está en su séptimo draft) para los avisos de abusos.

Los ISPs cuando recibimos un ataque, mensaje de spam…etc solemos avisar al propietario de la red en la que se encuentra la IP origen para que resuelvan el problema (esto se indica en el WHOIS de la IP). Hasta ahora, cada ISP tenía su forma de enviar estos mensajes (llamados Feedback Loops pero ahora, en vez de enviar el típico email diciendo «tu IP manda spam, revisa tu servidor en busca de scripts/virus», se está intentando estandarizar el formato de estos avisos para poder hacer más fácil la creación de parsers y herramientas de lectura y procesado; vamos, facilitar la vida a la gente de seguridad/abuse.

La última versión del draft ha sido publicada el 17 de Abril y puede leerse en:

http://www.shaftek.org/publications/drafts/abuse-report/draft-shafranovich-feedback-report-07.txt

Desde hoy mismo, los avisos automáticos de nuestra lista negra, rbl.dns-servicios.com se harán en dicho formato.

Sin embargo, los mensajes ARF de Hostalia tendrán el asunto como el mensaje original (el mensaje de spam) como dice el borrador precedido del texto «Abuse Report for IP X.X.X.X:» para permitir buscar fácilmente por IP, ordenar mensajes…hasta que el ARF sea RFC y los destinatarios hayan actualizado sus filtros y parseadores para permitir ARF.

Actualmente, AOL ( en su portal se puede leer ) y Outblaze envían ya sus avisos en este formato y nosotros nos unimos a esta iniciativa pionera a la espera de que se estandarice.

Para más información: http://postmaster.hostalia.com/arf.es.html

Y para recursos sobre ARF: http://wordtothewise.com/resources/arf.html

Estrella de sheriff de SpamHaus :-)

Como nota curiosa, SpamHaus nos concede una estrella de reconocimiento como red proactiva de no tolerancia al spam. Desde el equipo de abuse de Hostalia, estamos comprometidos con este asunto y tratamos los casos de spam/phishing/seguridad con toda la seriedad posible para acabar con ellos lo más rápido posible.

spamhaus

Que siga así :-)

Tensa calma tras la desaparición de McColo

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

SpamCop

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Total

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

SpamHam

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una «tensa calma» ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la «crisis»).

McColo Corp. fuera de juego!

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

Sigue leyendo

ICANN retira la acreditación de registrador a EstDomains

Parece que la ICANN se está empezando a tomar las cosas en serio. Acaba de retirar la acreditación de registrador a EstDomains, como se puede ver en esta nota:

http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf

EstDomains es un agente registrador que tiene registrados más de 240.000 dominios según WebHosting.info, mediante el cuál se registra(ba)n numerosos dominios para el envío de spam y diversos fraudes a través de Internet. Un informe más completo se puede encontrar en:

http://www.f-secure.com/weblog/archives/00001522.html

En dicho artículo se comenta la relación de EstDomains con Atrivo (también conocido como Intercage), ISP que ha sido noticia recientemente debido al cese del peering con ellos de otros ISPs americanos como UnitedLayer, que cansados de intercambiar tráfico con un ISP dedicado a las «malas artes», decidieron poner fin a ello.

En resumen, bien por la ICANN!

Los contactos del WHOIS

Tras un rediseño del sistema de notificaciones enviadas cuando una IP cae en nuestra lista negra RBL.DNS-SERVICIOS.COM, ahora el mensaje incluye una de las evidencias por la cuál ha sido listada. Con ella el ISP responsable de dicha IP podrá buscar el origen del mensaje de spam. Por ejemplo:

http://rbl.dns-servicios.com/ids/evidence.txt

Es curioso, no obstante, el «desastre» con el que uno se encuentra al enviar mensajes de este tipo a los contactos que aparecen en el WHOIS de las IPs:

mail.local: /var/mail/f/fkchung: Disc quota exceeded

Authentication required (in reply to MAIL FROM command)

Relay access denied (in reply to RCPT TO command)

Database disk quota exceeded

The user(s) account is temporarily over quota.

Reason: Over quota

Unable to deliver message to the following recipients, because
the message was forwarded more than the maximum allowed
times. This could indicate a mail loop.

Recipient address rejected: User unknown in local recipient
table (in reply to RCPT TO command)

Command rejected (in reply to end of DATA command)

Los hay incluso mejores, que pasan directamente de lo que pueda haber o salir de sus redes:


We would point out that, within its activity as a provider of
electronic communication services, XXXX merely provides its
clients with access to the Internet, which entails the activity
of simply transporting information over the network.

No obstante, también se reciben comentarios de agradecimiento por la información facilitada. Por ello y por ayudar a la erradicación de estas fuentes de spam, seguiremos con esta política.

VII Reunión del Foro ABUSES (Equipos Abuse)

Una nueva edición del Foro Abuses, esta vez en León, en la sede de INTECO, los días 2 y 3 de Octubre.

La agenda:

Día 2 de Octubre (jueves)

10.00-10.30 Bienvenida
10.30-11.30h Presentación INTECO
12.00-14.00h
Sobre la «Obligación por ley de almacenar los registros de actividad del servicio de correo electrónico.

16.00-18.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro
Sesión acerca de «Experiencias sobre la gestión (dinámica, herramientas, estadísticas etc) de incidentes abuse@ y seguridad en un ISP»

Día 3 de Octubre (viernes)

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES
Propuesta, evaluación y aprobación de documentos del Foro ABUSES:

Propuesta: «Recomendación de Listas Negras»
Propuesta: «Compartir rangos IP dinamicos»
Propuesta: «ListaBlanca de dominios»
Propuesta: «Intercambio de incidentes en Foro ABUSES»

13.00-13.30h Sesión 4: Conclusiones y próxima reunión
14.00h Comida despedida

Seguro que sacamos conclusiones interesantes :-)

Barracuda Reputation Block List

Según se puede leer en la web de Barracuda, acaban de poner en funcionamiento una lista de reputación (aunque por ahora, a pesar del nombre, parece una DNSBL simple) de acceso gratuito, previo registro:

At the end of September Barracuda Networks will introduce the Barracuda Reputation Block List (BRBL – pronounced «bahr-bel») as a free DNSBL of IP addresses known to send spam.

The BRBL is open to public and can be used within reason. Barracuda is currently making this service available free of charge and we hope to keep it that way.

La «Listing Methodology» está aún en «Details coming soon…», así que no podemos saber qué política de inclusión en la lista usan. No obstante, sí que tienen un formulario para dar de baja IPs.

Ya la estoy probando bajo SpamAssassin (es muy pronto aún para ponerla a nivel SMTP y más, sin saber su metodología de listado) y parece que está dando buenos resultados…veremos qué nivel de falsos positivos tiene, que es al fin y al cabo, el indicador más importante de la calidad de una lista negra.