Recomendaciones de RBLs del Foro Abuses

Es común en los ISPs tener problemas con ciertas RBLs ( hasta Telefónica los tuvo con Hotmail hace poco aunque estos últimos no usen RBLs públicas sino más bien sistemas de reputación); son miles los clientes y las IPs que se gestionan, y siempre puede haber alguna intrusión en algún servidor, algún cliente al que le han robado el usuario/contraseña…etc.

Esto es más aceptable; se soluciona el problema para evitar más envío de spam y se da de baja la IP de dicha lista negra. Hasta aquí correcto. El problema viene con listas que o tienen una política dudosa de listado (como listar rangos completos sin motivo alguno) o ponen mil impedimentos para dar de baja tu IP.

Por ello, desde el Foro Abuses, se acordó sacar un documento de consenso para comentar las listas más conocidas y ver cuáles eran las que más problemas nos acarreaban.

El documento final, muestra una serie de puntuaciones sobre las RBLs en base a varios criterios y califica a varias de ellas como «no recomendables» para su uso, como APEWS, SPAMCANNIBAL, UCEPROTECT…etc.

Este documento, obviamente, es público y se le puede dar la difusión que se considere (para eso está ;-) ).

Posible cierre de SORBS

La popular conocida lista negra de SORBS, podría cerrar el 22 de Julio del presente 2009. Parece que la Universidad de Queensland, donde tenían el hosting, ha decidido no respetar el acuerdo que tenía con SORBS y por tanto ahora mismo está en venta a no ser que alguien pueda ofrecer espacio para un rack de 42 Us en Australia.

SORBS mantenía unas políticas de deslistado de IPs bastante controvertidas, llegando a veces hasta a cobrar por el deslistado de una IP de su lista negra. Es por ello que mucha gente se alegra de tal cierre.

De una u otra forma, SORBS ha sido una de las listas negras más usadas y que siempre ha estado ahí con sus listas de relays abiertos, proxys, SOCKS, rangos de IPs dinámicas…etc. Su trabajo hay que reconocerlo ya que llevan desde 2002 con dicho proyecto, soportando 30 billones de consultas DNS al día.

Veremos el 22 de Julio qué es lo que pasa.

El comunicado es el siguiente:

ANNOUNCEMENT: Possible SORBS Closure…

Los planes de Wietse Venema (Postfix)

En la lista de distribución de postfix-users, alguien ha comentado la existencia de un proyecto llamado OpenSMTPD creado por los chicos de OpenBSD. De hecho, en LWN se habla sobre ello y anuncia una pronta primera release del software.

¿Para qué reinventar la rueda? «Simplemente» por cuestiones de licencia; parece que en OpenBSD no les gusta excesivamente la licencia pública de IBM que tiene Postfix, por ello han decidido desarrollar otro servidor SMTP.

Wietse Venema, el creador de Postfix, ya decía que no le apetecía mucho andar con jaleos de licencias con los abogados de IBM, y el bueno de él comenta:

Apart from that, if they come up with a decent MTA then I welcome
some competition. More motivation for me to look into postfix-lite.

Por lo que parece, Wietse tiene prevista hacer una limpieza de código importante, sobre todo evitando código de compatibilidad con versiones antiguas y demás:

Fully-featured as far as RFCs are concerned, but not necessarily
drop-in compatible with earlier Postfix configurations or file
formats.

Ideally this means eliminating thousands of lines of non-obvious
code, either by removing the feature or workaround altogether, or
by replacing it with code that is easier to maintain but not 100%
compatible. This will be a slow process.

Veremos cómo avanza OpenSMTPD, pero realmente lo tienen bastante difícil para desbancar no solo a Postfix, sino a otros proyectos ya muy maduros como Exim, Qmail, Sendmail…etc.
Tienen MUCHO trabajo por delante…suerte!

Reportar como spam != desuscribir

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de «reportar como spam» para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo «peligroso».

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de «reportar como spam» no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

Sigue leyendo

VIII Reunión del foro ABUSES

Por octava vez, el Foro ABUSES se reúne para tratar diversos temas sobre correo electrónico, abusos…etc.
En esta ocasión, se realizará en la Universidad Complutense de Madrid, con la siguiente agenda:

[+] Día 5 de Mayo

10.00-10.30h Sesión1 (mañana):Recepción y Bienvenida

ECO: Assciation of the German Internet Industry.
A cargo de: Sascha Wilms, Project Manager de ECO y CSA (Certified Sender Alliance) (La charla es en castellano)

* Introducción de ECO
* Actividades anti-abuse y anti-spam
* CSA Whitelist en sender++

FBLs (FeedBack Loops)y ARF (Abusing Reporting Format)

* Introducción. Alvaro Marin (Hostalia)
* Experiencias. Juan MIguel Morillas. (Telefonica España)
* Debate y propuestas

16.00-17.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro

* Experiencias con Conficker. Antonio Javier García Martinez. Seguridad Operaciones Telefónica (Seguridad Operaciones)

* Mundo-R: Experiencias sobre el control del puerto 25/SMTP
* Genetsis
* Vodafone

17.00-18.00h Propuesta compartir rangos IPs dinámicas

[+] Día 6 de Mayo

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES

Concurso de experiencias y buenas practicas en la gestión de incidentes abuse

13.00-13.30h
Sesión final: Conclusiones y próxima reunión

Veremos qué da de sí :-)

Microsoft usando Postfix

Ayer hablando con un ex-compañero, Imanol, ya me lo decía y justamente leyendo la lista de postfix-users salía un mensaje que lo comentaba:

$ dig mx microsoft.com +short
 10 mail.global.frontbridge.com.

$ telnet mail.global.frontbridge.com 25
Trying 65.55.88.22...
Connected to mail.global.frontbridge.com.
Escape character is '^]'.
220 mail156-tx2.bigfish.com ESMTP Postfix EGGS and Butter

Y así lo confirmaba el propio Victor Duchovni, que se podría decir que es la mano derecha de Wietse Venema, diciendo que Microsoft compró Frontbridge hace tiempo y que éstos usaban por aquél entonces Postfix en su versión 1.1. Parece entonces que lo siguen usando y seguramente, Microsoft tendrá una primera frontera de servidores con Postfix para hacer frente a todo el tráfico entrante, dada la excelente capacidad de este MTA de gestionar grandes cantidades de conexiones concurrentes como las que puede recibir Microsoft en sus MX.

Como fijarse en el banner es algo banal, haciendo alguna prueba con comandos no existentes y demás, sí parece tener las respuestas de Postfix. Pasando smtpscan obtenemos:

$ /usr/local/bin/smtpscan  mail.global.frontbridge.com
smtpscan version 0.5

  15 tests available
  3184 fingerprints in the database

Scanning mail.global.frontbridge.com (216.32.180.22) port 25
 15/15

Result --
503:501:501:250:501:250:450:502:502:502:502:502:502:250:250

Banner :
220 mail153-va3.bigfish.com ESMTP Postfix EGGS and Butter

No exact match. Nearest matches :
  - Postfix 1.1.11 (1)
  - Postfix (1)

Que es justamente lo que decía Viktor, un Postfix v1.1 modificado.

Parece que esto coincide además con el reciente lanzamiento de Hosted Exchange, algo que no ha sentado muy bien entre sus clientes ya que hacen clara competencia a sus partners.

ARF – Abuse Reporting Format

Supongo que para muchos el asunto no dice mucho, pero a modo de resumen, ARF (Abuse Reporting Format) es un formato que deberá ser estándar en breve (está en su séptimo draft) para los avisos de abusos.

Los ISPs cuando recibimos un ataque, mensaje de spam…etc solemos avisar al propietario de la red en la que se encuentra la IP origen para que resuelvan el problema (esto se indica en el WHOIS de la IP). Hasta ahora, cada ISP tenía su forma de enviar estos mensajes (llamados Feedback Loops pero ahora, en vez de enviar el típico email diciendo «tu IP manda spam, revisa tu servidor en busca de scripts/virus», se está intentando estandarizar el formato de estos avisos para poder hacer más fácil la creación de parsers y herramientas de lectura y procesado; vamos, facilitar la vida a la gente de seguridad/abuse.

La última versión del draft ha sido publicada el 17 de Abril y puede leerse en:

http://www.shaftek.org/publications/drafts/abuse-report/draft-shafranovich-feedback-report-07.txt

Desde hoy mismo, los avisos automáticos de nuestra lista negra, rbl.dns-servicios.com se harán en dicho formato.

Sin embargo, los mensajes ARF de Hostalia tendrán el asunto como el mensaje original (el mensaje de spam) como dice el borrador precedido del texto «Abuse Report for IP X.X.X.X:» para permitir buscar fácilmente por IP, ordenar mensajes…hasta que el ARF sea RFC y los destinatarios hayan actualizado sus filtros y parseadores para permitir ARF.

Actualmente, AOL ( en su portal se puede leer ) y Outblaze envían ya sus avisos en este formato y nosotros nos unimos a esta iniciativa pionera a la espera de que se estandarice.

Para más información: http://postmaster.hostalia.com/arf.es.html

Y para recursos sobre ARF: http://wordtothewise.com/resources/arf.html

Parche para razor 2.84

Vipul’s Razor es una herramienta distribuida y colaborativa de detección de spam, como bien dice en su página web website. Se basa en fingerprints de los mensajes, comparando el del mensaje a analizar con una base de datos pública y colaborativa. Suele ser usado desde SpamAssassin como plugin, asignando al test resultante una puntuación.

Aplicando este parche, puedes hacer una lista blanca con los fingerprints que generen falsos positivos, como especifica la documentación. El problema es que sin dicho parche y a pesar de que lo pone en la documentación, esta feature de lista blanca no funciona, como dice el propio Vipul en un mensaje.

Puedes bajarte el parche de http://postmaster.hostalia.com/razor2-2.84.diff y aplicarlo con el comando patch para habilitar esta funcionalidad. Luego basta con crear un archivo llamado razor-whitelist con por ejemplo, el siguiente contenido:


# Mensaje con "test" solamente
sha1 75f8bcc2357366bbfa9c6ab0b6e5648ed0cf7083
# Mensaje con "Saludos" solamente
sha1 X0qIKOQy7MrCnYhKH6s5o-FY5kQA
# empty messages
sha1 zdGTYRw61hrsYQoLvVL2vWL1u_EA
sha1 _SsH-KtgO9VSZa2dpZ4fHt9OeOcA
sha1 Hv5WLPo9LTz96VJOTNKYM3618zQA
sha1 GKXO6MQg0SCjpwnR6yP7PX_G--4A

de tal forma que los mensajes con esos fingerprints no serán puntuados.