www.alvaromarin.com

Hoy día 27 de Enero del 2010, ha sido liberada la versión 3.3.0 de SpamAssassin. En breve empezará a estar presente en los paquetes de las distintas distribuciones Linux, aunque para los que usamos CPAN ya está disponible esta última versión.

En el Changelog se puede leer una amplia lista de cambios y nuevas features introducidas en esta nueva versión.

A modo de resumen, comento varias de ellas:

- Las reglas no se distribuyen ahora con SpamAssassin, sino de forma independiente, por lo que después de instalarlo habrá que hacer un sa-update para proceder a bajarlas.

- El plugin de AWL (AutoWhiteList) pasa a estar deshabilitado por defecto. Daba bastantes problemas así que me parece correcto.

- El plugin de DKIM, pasa a estar habilitado por defecto. Un pequeño empujón para el tema de DKIM ;-)

- Nuevos parámetros para soportar reputaciones del servicio DCC

- Nuevas opciones para debugging

- Los scores de las reglas han sido generados mediante un algoritmo genético y pulidos gracias a reportes de usuarios, beta testers.

- Añadidas las listas PSBL, CSS, ReturnPath…

- …

Para ver la lista completa de cambios, remito al Changelog que ya he comentado :-)

Comments(0)

La popular conocida lista negra de SORBS, podría cerrar el 22 de Julio del presente 2009. Parece que la Universidad de Queensland, donde tenían el hosting, ha decidido no respetar el acuerdo que tenía con SORBS y por tanto ahora mismo está en venta a no ser que alguien pueda ofrecer espacio para un rack de 42 Us en Australia.

SORBS mantenía unas políticas de deslistado de IPs bastante controvertidas, llegando a veces hasta a cobrar por el deslistado de una IP de su lista negra. Es por ello que mucha gente se alegra de tal cierre.

De una u otra forma, SORBS ha sido una de las listas negras más usadas y que siempre ha estado ahí con sus listas de relays abiertos, proxys, SOCKS, rangos de IPs dinámicas…etc. Su trabajo hay que reconocerlo ya que llevan desde 2002 con dicho proyecto, soportando 30 billones de consultas DNS al día.

Veremos el 22 de Julio qué es lo que pasa.

El comunicado es el siguiente:

ANNOUNCEMENT: Possible SORBS Closure…

Comments(0)

Vipul’s Razor es una herramienta distribuida y colaborativa de detección de spam, como bien dice en su página web website. Se basa en fingerprints de los mensajes, comparando el del mensaje a analizar con una base de datos pública y colaborativa. Suele ser usado desde SpamAssassin como plugin, asignando al test resultante una puntuación.

Aplicando este parche, puedes hacer una lista blanca con los fingerprints que generen falsos positivos, como especifica la documentación. El problema es que sin dicho parche y a pesar de que lo pone en la documentación, esta feature de lista blanca no funciona, como dice el propio Vipul en un mensaje.

Puedes bajarte el parche de http://postmaster.hostalia.com/razor2-2.84.diff y aplicarlo con el comando patch para habilitar esta funcionalidad. Luego basta con crear un archivo llamado razor-whitelist con por ejemplo, el siguiente contenido:


# Mensaje con "test" solamente
sha1 75f8bcc2357366bbfa9c6ab0b6e5648ed0cf7083
# Mensaje con "Saludos" solamente
sha1 X0qIKOQy7MrCnYhKH6s5o-FY5kQA
# empty messages
sha1 zdGTYRw61hrsYQoLvVL2vWL1u_EA
sha1 _SsH-KtgO9VSZa2dpZ4fHt9OeOcA
sha1 Hv5WLPo9LTz96VJOTNKYM3618zQA
sha1 GKXO6MQg0SCjpwnR6yP7PX_G--4A


de tal forma que los mensajes con esos fingerprints no serán puntuados.

Comments(0)

Como nota curiosa, SpamHaus nos concede una estrella de reconocimiento como red proactiva de no tolerancia al spam. Desde el equipo de abuse de Hostalia, estamos comprometidos con este asunto y tratamos los casos de spam/phishing/seguridad con toda la seriedad posible para acabar con ellos lo más rápido posible.

Que siga así :-)

Comments(2)

Según se puede leer en la propia sección de noticias de la web de SURBL, el 1 de Marzo del 2009, las zonas  DNS de las listas individuales de SURBL, serán deshabilitadas.

SURBL llevaba ofreciendo hasta ahora las siguientes listas para consultar:

* sc.surbl.org – SpamCop web sites
* ws.surbl.org – sa-blacklist web sites
* ob.surbl.org – Outblaze URI blacklist
* ab.surbl.org – AbuseButler web sites
* ph – Phishing and malware sites
* jp – jwSpamSpy + Prolocation sites
* multi.surbl.org – Combined SURBL list

con lo que a partir del 1 de Marzo, solamente quedará multi.surbl.org, que es la que se deberá consultar.

SpamAssassin, desde su versión 3.0 (actualmente la última versión es la 3.2.5), consulta “multi” por lo que no es necesario hacer cambio alguno si se usan versiones superiores.

Comments(0)

Como se puede ver en las noticias de la web de MailChannels, esta empresa y Commtouch, dos importantes empresas de servicios relacionados con el correo electrónico y las soluciones antispam, se han unido para dar a Plesk un sistema antispam decente (no como la instalación por defecto de SpamAssassin, como hace ahora). El acuerdo consiste en el uso de la herramienta Traffic Control de MailChannels junto con los filtros de Commtouch para dar una solución completa. Un vídeo de la instalación puede verse aquí:

http://tcblog.mailchannels.com/2008/11/direct-from-mailchannels-labs-plesk.html

Es sencillo por lo que parece, pero tampoco tiene pinta de ofrecer muchas opciones de configuración, más bien ninguna. Una versión de prueba (30 días)de dicho software se puede bajar de:

http://mailchannels.com/download/parallels/nov2008

Habrá que probarlo a ver…

Comments(0)

Comentábamos hace algo más de un mes que SaneSecurity cerraba momentáneamente debido a ciertos ataques DDoS que estaba sufriendo.

La buena noticia es que desde hace dos días, las firmas vuelven a estar disponibles, esta vez para bajarse vía rsync. Los archivos que incluye son los siguientes:

phish.ndb: phishing, malware, ecards
scam.ndb: spam, 419s, lottery, job, stocks
junk.ndb: phishing, malware, ecards, spam, 419s, lottery, job, stocks
spear.ndb: email spears/phishing, converted from http://code.google.com/p/anti-phishing-email-reply/
rogue.hdb: fake anti-virus software, other malware
spamimg.hdb: spam images
lott.ndb: simple lottery scams
spam.ldb: spam (using logical signatures)

phish.ndb.sig: gpg signed file for phish.ndb
scam.ndb.sig: gpg signed file for scam.ndb
junk.ndb.sig: gpg signed file for junk.ndb
spear.ndb.sig: gpg signed file for spear.ndb
rogue.hdb.sig: gpg signed file for rogue.hdb
spamimg.hdb.sig: gpg signed file for spamimg.hdb
lott.ndb: gpg signed file for lott.ndb
spam.ldb: gpg signed file for spam.ldb

Todos los cambios se encuentran en el siguiente PDF, que es recomendable leerlo. Para bajarse los archivos, como comentaba vía rsync, existe también algún script ya hecho.

Mil gracias a los administradores de SaneSecurity por brindarnos de nuevo sus firmas!

Comments(0)

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

Comments(11)

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

(Lee el artículo entero)

Comments(3)

Según se puede leer en la web de Barracuda, acaban de poner en funcionamiento una lista de reputación (aunque por ahora, a pesar del nombre, parece una DNSBL simple) de acceso gratuito, previo registro:

At the end of September Barracuda Networks will introduce the Barracuda Reputation Block List (BRBL – pronounced “bahr-bel”) as a free DNSBL of IP addresses known to send spam.
…
The BRBL is open to public and can be used within reason. Barracuda is currently making this service available free of charge and we hope to keep it that way.

La “Listing Methodology” está aún en “Details coming soon…”, así que no podemos saber qué política de inclusión en la lista usan. No obstante, sí que tienen un formulario para dar de baja IPs.

Ya la estoy probando bajo SpamAssassin (es muy pronto aún para ponerla a nivel SMTP y más, sin saber su metodología de listado) y parece que está dando buenos resultados…veremos qué nivel de falsos positivos tiene, que es al fin y al cabo, el indicador más importante de la calidad de una lista negra.

Comments(0)