Por fin…tras meses y meses de proyecto (instalaciones, pruebas, workshops, cientos de emails…), salió a la luz :)
Ya se publicó, hace un par de meses, la nota de prensa del acuerdo con
Open-Xchange, la suite colaborativa open source por excelencia. Y ayer fue el momento en que el producto se lanzó y salío a Internet.
No voy a hacer publicidad desde estas líneas, esto es simplemente una reseña por el trabajo de los últimos meses ;-)
Ya comentamos en el pasado Foro Abuses varios de los ISPs allí reunidos, que habíamos notado un descenso bastante acusado de los niveles de spam y rechazo por RBLs.
La reciente operación contra la botnet Rustock por parte de Microsoft, hace escasos dos meses, seguramente tenga algo que ver. También la desactivación de la botnet Waledac el año pasado. No hay más que ver las gráficas al respecto:
Parece que toda la “industria” del malware se está dirigiendo más hacia las redes sociales; no hay más que ver el éxito cosechado por campañas de videos con virus o el “botón no me gusta” de Facebook y la facilidad de engaño que tienen.
Veremos cómo se presenta el futuro, sobre todo con la entrada de IPv6 en juego, que seguro que da un nuevo empuje a las botnes. Nos encontraremos con la problemática de la gestión de RBLs para la gran cantidad de IPs disponibles que habrá.
Los próximos 18 y 19 de Mayo se celebra la ya XI reunión del Foro ABUSES. En ella nos reuniremos los equipos abuse y administradores de correo electrónico de los principales ISPs españoles. A continuación, la agenda prevista:
18 Mayo 2011 (miércoles)
Esta sesión será cerrada a miembros del Foro ABUSES
09.30h-10.00h Recepción
10.00h-10.45h Bienvenida y presentación Brigada Investigación Tecnológica (BIT)
10.45h-11.00h Descanso, café y tertulia
11.00h-12.00 Propuesta de Objetivos Foro ABUSES
Moderador: Susana Rey
12.00h-13.30h Evolución del Foro para consecución de Objetivo
Moderador: Carlos Olea (Telefónica Internacional)
13.30h-16.00h Comida
16.00h-17.00h Conclusiones sobre evolución del Foro
17.00h-18.00 Propuesta de proyecto colaborativo en la lucha contra la propagación del malware. Roberto (Abbansys)
19 Mayo 2011 (jueves)
10.00h-10.45h Experiencias de la Guardia Civil
10.45h-11.00h Descanso, café y tertulia
11.00h-12.30h Temas varios:
Sistema de intercambio de firmas malware. Roberto Navarro (Abansys)
Red de spamtraps de RedIRIS
Caso estudios sobre el último bloqueo de hotmail
Nueva herramienta colaborativa para Foro ABUSES
12.30h-13.00h Próxima reunión
13.30h Comida comunal
En el mes de Mayo del pasado 2010, puse en marcha un nuevo milter en los relays de correo de entrada de Hostalia.
Dicho milter se encarga de hacer greylisting selectivo a determinadas IPs (rangos dinámicos, fundamentalmente) y el resultado ha sido ciertamente, muy efectivo.
En el siguiente gráfico, vemos como el número de mensajes que se procesan por el motor antispam (en este punto, se han pasado ya todas las RBLs y tests SMTP, por lo que son mensajes que pasan a ser procesados por MailScanner y SpamAssassin) da un bajón importante a partir de la puesta en marcha de dicho milter.
Todo esto sin un solo falso positivo :-)
Está claro, como el tiempo ha ido demostrando, que las formas de lucha contra el spam deben pasar por este tipo de soluciones. De hecho, habrá que empezar a probar seriamente PostScreen, una nueva funcionalidad que ya está presente en Postfix (a partir de su versión 2.8) y que permitirá tener una protección por delante del demonio smtpd. Prometo post sobre ello :-)
En base a un hilo de la lista de de correo postfix-users, Wietse Venema, el creador de Postfix, ha dado soporte a listas blancas basadas en DNS.
Hasta ahora, solo estaba implementado el soporte para RBLs (listas negras) así que cualquier lista blanca de IPs que se quisiese implementar, había que hacerlo con un archivo de texto con el listado de IPs en el propio servidor. Ahora, con esta nueva feature, se puede indicar a Postfix que si la consulta DNS (preguntar por el registro A de la IP a la inversa seguida del dominio, normalmente) para una determinada IP contra una lista blanca basada en DNS, devuelve una IP concreta, pueda evitarse que sigan otros chequeos antispam (como RBLs).
El propio ChangeLog de Postfix 2.8 (versión de desarrollo) ya indica dicha mejora:
20101105
Feature: DNS whitelist support in the Postfix SMTP server.
permit_dnswl_client whitelists a client by IP address, and
permit_rhswl_client whitelists a client by its hostname.
The syntax is the same as reject_rbl_client etc., but the
result is PERMIT instead of REJECT. For safety reasons,
permit_xxx_client are silently ignored when they would
override reject_unauth_destination. The result is
DEFER_IF_REJECT when DNSWL lookup fails. The implementation
is based on a design documented by Noel Jones (August 2010).
File: smtpd/smtpd_check.c.
La documentación también hace referencia a ello.
Eso sí, habrá que esperar algún tiempo hasta que entre en la rama estable actual, la 2.6.
Ayer mismo terminé de dar las clases en el Master de Seguridad de la Información de la Universidad de Deusto, relativas al módulo “Seguridad en sistemas de correo electrónico”. A continuación, las transparencias usadas para la introducción a dicho módulo:
Hace tiempo que venimos hablando de ARF (Abuse Reporting Format) como sistema de reporte de abusos entre ISPs.
Incluso en alguna presentación pude hablar sobre ello:
Así que lo que antes era un Internet-draft, ahora ya es un RFC, el RFC 5965. Ahora solo falta lo más complicado…que todos los ISPs empecemos a adoptarlo :)
Hace pocos días, se ha hecho conocida una nueva feature de Gmail, la prioridad en su bandeja de entrada:
La idea como tal no es nueva pero ya sabemos que cuando Google hace algo, parece que lo hace a lo grande :)
Sin embargo, algo parecido ya lo habían puesto en marcha antes Yahoo y Microsoft.
Yahoo con su pestaña “What’s New” ya mostraba los mensajes de correo de los contactos de la libreta de los que hubiese correo y de las conexiones (a través de otros servicios “sociales”) antes que cualquier otro; incluso un twitt de un contacto, podía salir antes en dicho tab que un e-mail . Además, las vistas del inbox del webmail de Yahoo ya permitían ver solamente los mensajes de tus contactos, de tus conexiones…etc.
Hotmail por su parte, también había cambiado su página de inicio, mostrando solamente mensajes e información de contactos y amigos. En el webmail, también se pueden usar las vistas “de contactos”, “actualizaciones sociales”…etc, para ver lo que más interese. Además, si Hotmail detecta que estás borrando directamente los mensajes de alguna lista a la que te hayas suscrito, te ofrece un botón para desuscribirte fácilmente (para mí, esta es la mejor feature por encima de cualquier otra, por lo ya comentado hace tiempo). Además, desde hace poco, para decidir la acción a realizar con un mensaje, pesa más el resultado del análisis que se haya hecho sobre el usuario que la decisión global. Las métricas que se usan para hacer dicho análisis por usuario son: mensajes leídos y borrados, mensajes no leídos y borrados, mensajes respondidos…etc.
El servicio de Gmail seguramente sea el más completo (también es el último en salir), pero también hay que decir que ha sido el que mejor ha sabido venderse.
Como es habitual en Commtouch, han publicado el reporte sobre el Q2 del 2010. Se puede ver un vídeo o bien, bajarse el reporte en PDF, que incluye gráficas y detalles.
A modo de resumen, cabrían resaltar los siguientes topics:
- 179 billones de mensajes de spam/phishing diarios
- 82% del tráfico en este Q2 es spam, con un pico del 92% en Junio
- Dominios más usados en el FROM por spammers: gmail.com, hipenhot.nl, yahoo.com, 123greetings.com, hotmail.com…
- La mayoría de la “temática” del spam sigue siendo productos farmacéuticos (64%)
- 307.000 nuevos zombies activos diarios
- India, Brasil , Vietnam y Alemania son los países con más PCs zombies
Como siempre, buen trabajo estadístico por parte de Commtouch!
Una nueva edición del Foro Abuses, esta vez en el Edificio Distrito C de Telefónica. La agenda, completita e interesante, como siempre:
Día 20 de abril (martes)
# 10.00-10.30 Recepción y desayuno
* Bienvenida
* Actividades de Telefónica en la protección al menor
* Caso de estudio en fraude bancario. Marc Vilanova (CAIXA-cert)
* Retrospectiva de políticas actuales de Telefónica en el filtrado BGP de direcciones IP. Desde Blackhole hasta mitigación de DoS. Carlos Olea
* Seguridad en el futuro escenario de IPv6. Juan Pedro Cerezo (BT)
# 13.30-15.30 Almuerzo de trabajo ofrecido por Telefónica
# 16.00-18.00h. Intercambio de experiencias entre los miembros del Foro
* Políticas de actuación contra el malware en Telefónica
* Proceso de bloqueo del puerto 25 de salida en EUSKALTEL
* Experiencia de defensa contra Confiker usando listas de reputación. ABBANSYS
Día 21 de abril (miércoles)
Sesión cerrada y exclusiva para miembros del Foro ABUSES
# 10:00-10.30h Actividades de Telefonica en la protección al menor
# 10.30h-11.30h Presentación de nuevos Grupos de Trabajo
# 11:30-12:00h Desayuno.
# 12:00-13:00h Desarrollo de Grupos de Trabajo
# 13.00-13.30h
* Exposición conclusiones de grupos de trabajo
* Asuntos internos foro: Accesos al wiki, solicitudes de miembros, Eurodig
* Próxima reunión
Comments(1)