Greylisting II

Ya hablábamos hace algunos años (¡cómo pasa el tiempo!) sobre Greylisting y la efectividad que tenía al rechazar temporalmente conexiones de ciertas IPs (rangos dinámicos y residenciales). Gracias a esto, todos esos mensajes de spam que envían los bots (que no tienen un sistema de gestión de rechazos (sistema de colas, básicamente) como exige el RFC), son rechazados en primera instancia y no se vuelven a intentar entregar.

Un paso más es combinar esto con la geolocalización de IPs. Gracias a GeoIP, disponemos de una base de datos que guarda el país al que pertenece cada IP de Internet. En Debian por ejemplo, basta hacer:

apt-get install geoip-bin geoip-database

y disponemos ya de un comando que hace la consulta correspondiente:

# geoiplookup 81.12.209.54
GeoIP Country Edition: RO, Romania

¿Y qué podemos hacer con esto? Pues juntarlo con la idea de Greylisting y poder rechazar temporalmente, aparte de las IP dinámicas/residenciales, las conexiones realizadas desde ciertos países que son conocidos por el envío masivo de spam. Podemos sacar un listado de la web de SpamHaus:

Por ejemplo, podemos rechazar temporalmente, las conexiones que tengan como origen IPs de Rumanía, Polonia, China y Brasil. Si decidimos hacer esto, sería conveniente saber si los clientes suelen intercambiar correos con otros usuarios de dichos países, para evaluar el impacto que tendría. No obstante, los servidores legítimos de dichos países, reintentarán el envío del mensaje una vez recibido el rechazo temporal (como exige el RFC), por lo que no habrá problemas de pérdida de correos.

Si lo comentado anteriormente es aplicable para el correo entrante, algo parecido se puede hacer para el correo saliente (el que los clientes nos entregan para hacer relay y entregarlo al destino). Aplicar RBLs sobre los clientes directamente, suele provocar bastantes falsos positivos (con IPs dinámicas sobretodo) así que puede combinarse estas consultas con la geolocalización. La idea podría ser «rechazar los envíos de clientes cuya IP origen esté en una o más RBLs y además el país origen sea poco habitual o sospechoso».

En nuestros servidores de salida, en el día de ayer por ejemplo, estos son algunos de los países al que pertenecen las IPs cuyas conexiones fueron rechazadas por la política anteriormente mencionada:

Vietnam
Rusia
Polonia
Taiwan
Turquía
Rumanía
Kazajistán
Omán

mensajes que no tenían pinta de ser legítimos.

Por tanto, vemos como la combinación de varias herramientas, puede proporcionarnos funcionalidades que podemos aplicar en diferentes ámbitos y de diferentes formas en nuestras plataformas de correo.

La lista NJABL echa el cierre

Se puede leer en la web de la lista negra NJABL, que se vacían las zonas DNSBL, en el proceso de cierre de dicha lista negra:

March 1, 2013: NJABL is in the process of being shut down. The DNSBL zones have been emptied. After «the Internet» has had some time to remove NJABL from server configs, the NS’s will be pointed off into unallocated space (192.0.2.0/24 TEST-NET-1) to hopefully make the shutdown obvious to those who were slower to notice.

Esta lista se consulta desde SpamAssassin en su instalación por defecto, por lo que es conveniente deshabilitarla para evitar consultas DNS en balde. Para ello, bastará con añadir:

score RCVD_IN_NJABL_CGI 0
score RCVD_IN_NJABL_MULTI 0
score RCVD_IN_NJABL_PROXY 0
score RCVD_IN_NJABL_RELAY 0
score RCVD_IN_NJABL_SPAM 0

en la configuración de SpamAssassin. No obstante, habrá que estar atentos a futuras actualizaciones de reglas (vía sa-update), ya que dichas reglas serán deshabilitadas por los propios desarrolladores.

Actualización: a día de hoy, 6 de Marzo, ya se han actualizado las reglas por parte del equipo de SpamAssassin de tal forma que no incluyen los chequeos a dicha DNSBL.

DNS-Servicios en MXToolBox

Hemos comprobado que la lista negra RBL.DNS-SERVICIOS.COM, que es gestionada por nosotros, está incluida entre las RBLs a comprobar en MXToolBox cuando se solicita un informe de una determinada IP (bajo el apartado Blacklists).
Este servicio gratuito es ampliamente utilizado por usuarios y administradores de servidores para comprobar en qué listas negras están incluidas sus IPs.

En su propia web, hacen referencia a nuestro servicio y la URL disponible para dar de baja la dirección IP de nuestra lista.

Ya comentábamos hace tiempo además, que nuestra lista negra notifica en formato ARF a los contactos abuse de la IP que es listada, para avisar de dicha incorporación.

DMARC: Domain-based Message Authentication, Reporting & Conformance

Un grupo de empresas de la «élite» actual de Internet, entre las que están Google, Microsoft, Facebook y Paypal, han anunciado una nueva especificación técnica colaborativa llamada DMARC «Domain-based Message Authentication, Reporting & Conformance».

Se trata de un nuevo protocolo mediante el cuál, un emisor que usa SPF y/o DKIM, puede indicar qué hacer si alguno de estos dos tests falla (nótese aquí la diferencia con el «hardfail», «softfail»…etc de SPF) al llegar a un destinatario que consulte DMARC y es más, se establece un canal de comunicación para que el destinatario pueda reportar esos emails al propietario del dominio emisor, con el fin de que éste por ejemplo, pueda investigar los posibles casos de envíos fraudulentos, phishing…etc y atajarlos de forma rápida.

Existe ya un extenso draft al respecto que habrá que ir mirando, ya que la idea parece interesante. El modo de publicación de las políticas DMARC para un determinado dominio, es similar a las de SPF, mediante un registro TXT en el DNS, por ejemplo:

«v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@alvaromarin.com»

en el que se indica la política a aplicar por los destinatarios de mensajes de este dominio cuyos tests SPF/DKIM fallen («reject» en este caso), el porcentaje de mensajes a los que aplicar esta política (100%) y la dirección donde enviar los reportes para ser analizados.

Habrá que seguir de cerca esta iniciativa.

Open-Xchange

Por fin…tras meses y meses de proyecto (instalaciones, pruebas, workshops, cientos de emails…), salió a la luz :)

Ya se publicó, hace un par de meses, la nota de prensa del acuerdo con
Open-Xchange, la suite colaborativa open source por excelencia. Y ayer fue el momento en que el producto se lanzó y salío a Internet.

No voy a hacer publicidad desde estas líneas, esto es simplemente una reseña por el trabajo de los últimos meses ;-)

Bajada histórica del spam

Ya comentamos en el pasado Foro Abuses varios de los ISPs allí reunidos, que habíamos notado un descenso bastante acusado de los niveles de spam y rechazo por RBLs.

La reciente operación contra la botnet Rustock por parte de Microsoft, hace escasos dos meses, seguramente tenga algo que ver. También la desactivación de la botnet Waledac el año pasado. No hay más que ver las gráficas al respecto:

RBLs

Parece que toda la «industria» del malware se está dirigiendo más hacia las redes sociales; no hay más que ver el éxito cosechado por campañas de videos con virus o el «botón no me gusta» de Facebook y la facilidad de engaño que tienen.
Veremos cómo se presenta el futuro, sobre todo con la entrada de IPv6 en juego, que seguro que da un nuevo empuje a las botnes. Nos encontraremos con la problemática de la gestión de RBLs para la gran cantidad de IPs disponibles que habrá.

XI Reunión del Foro ABUSES

Los próximos 18 y 19 de Mayo se celebra la ya XI reunión del Foro ABUSES. En ella nos reuniremos los equipos abuse y administradores de correo electrónico de los principales ISPs españoles. A continuación, la agenda prevista:

18 Mayo 2011 (miércoles)

Esta sesión será cerrada a miembros del Foro ABUSES

09.30h-10.00h Recepción

10.00h-10.45h Bienvenida y presentación Brigada Investigación Tecnológica (BIT)

10.45h-11.00h Descanso, café y tertulia

11.00h-12.00 Propuesta de Objetivos Foro ABUSES
Moderador: Susana Rey

12.00h-13.30h Evolución del Foro para consecución de Objetivo
Moderador: Carlos Olea (Telefónica Internacional)

13.30h-16.00h Comida

16.00h-17.00h Conclusiones sobre evolución del Foro

17.00h-18.00 Propuesta de proyecto colaborativo en la lucha contra la propagación del malware. Roberto (Abbansys)

 

19 Mayo 2011 (jueves)
10.00h-10.45h Experiencias de la Guardia Civil

10.45h-11.00h Descanso, café y tertulia

11.00h-12.30h Temas varios:

Sistema de intercambio de firmas malware. Roberto Navarro (Abansys)
Red de spamtraps de RedIRIS
Caso estudios sobre el último bloqueo de hotmail
Nueva herramienta colaborativa para Foro ABUSES

12.30h-13.00h Próxima reunión

13.30h Comida comunal

Greylisting 2010

En el mes de Mayo del pasado 2010, puse en marcha un nuevo milter en los relays de correo de entrada de Hostalia.
Dicho milter se encarga de hacer greylisting selectivo a determinadas IPs (rangos dinámicos, fundamentalmente) y el resultado ha sido ciertamente, muy efectivo.

En el siguiente gráfico, vemos como el número de mensajes que se procesan por el motor antispam (en este punto, se han pasado ya todas las RBLs y tests SMTP, por lo que son mensajes que pasan a ser procesados por MailScanner y SpamAssassin) da un bajón importante a partir de la puesta en marcha de dicho milter.

Greylisting

Todo esto sin un solo falso positivo :-)

Está claro, como el tiempo ha ido demostrando, que las formas de lucha contra el spam deben pasar por este tipo de soluciones. De hecho, habrá que empezar a probar seriamente PostScreen, una nueva funcionalidad que ya está presente en Postfix (a partir de su versión 2.8) y que permitirá tener una protección por delante del demonio smtpd. Prometo post sobre ello :-)

Whitelisting basado en DNS en Postfix 2.8

En base a un hilo de la lista de de correo postfix-users, Wietse Venema, el creador de Postfix, ha dado soporte a listas blancas basadas en DNS.

Hasta ahora, solo estaba implementado el soporte para RBLs (listas negras) así que cualquier lista blanca de IPs que se quisiese implementar, había que hacerlo con un archivo de texto con el listado de IPs en el propio servidor. Ahora, con esta nueva feature, se puede indicar a Postfix que si la consulta DNS (preguntar por el registro A de la IP a la inversa seguida del dominio, normalmente) para una determinada IP contra una lista blanca basada en DNS, devuelve una IP concreta, pueda evitarse que sigan otros chequeos antispam (como RBLs).

El propio ChangeLog de Postfix 2.8 (versión de desarrollo) ya indica dicha mejora:

20101105

Feature: DNS whitelist support in the Postfix SMTP server.
permit_dnswl_client whitelists a client by IP address, and
permit_rhswl_client whitelists a client by its hostname.
The syntax is the same as reject_rbl_client etc., but the
result is PERMIT instead of REJECT. For safety reasons,
permit_xxx_client are silently ignored when they would
override reject_unauth_destination. The result is
DEFER_IF_REJECT when DNSWL lookup fails. The implementation
is based on a design documented by Noel Jones (August 2010).
File: smtpd/smtpd_check.c.

La documentación también hace referencia a ello.

Eso sí, habrá que esperar algún tiempo hasta que entre en la rama estable actual, la 2.6.

Transparencias Master 2010/2011

Ayer mismo terminé de dar las clases en el Master de Seguridad de la Información de la Universidad de Deusto, relativas al módulo «Seguridad en sistemas de correo electrónico». A continuación, las transparencias usadas para la introducción a dicho módulo: