www.alvaromarin.com » AntiSpam

SpamAssassin 3.3.0

Alvaro Marín Illera — Wed, 27 Jan 2010 08:47:44 +0000

Hoy día 27 de Enero del 2010, ha sido liberada la versión 3.3.0 de SpamAssassin. En breve empezará a estar presente en los paquetes de las distintas distribuciones Linux, aunque para los que usamos CPAN ya está disponible esta última versión.

En el Changelog se puede leer una amplia lista de cambios y nuevas features introducidas en esta nueva versión.

A modo de resumen, comento varias de ellas:

- Las reglas no se distribuyen ahora con SpamAssassin, sino de forma independiente, por lo que después de instalarlo habrá que hacer un sa-update para proceder a bajarlas.

- El plugin de AWL (AutoWhiteList) pasa a estar deshabilitado por defecto. Daba bastantes problemas así que me parece correcto.

- El plugin de DKIM, pasa a estar habilitado por defecto. Un pequeño empujón para el tema de DKIM ;-)

- Nuevos parámetros para soportar reputaciones del servicio DCC

- Nuevas opciones para debugging

- Los scores de las reglas han sido generados mediante un algoritmo genético y pulidos gracias a reportes de usuarios, beta testers.

- Añadidas las listas PSBL, CSS, ReturnPath…

- …

Para ver la lista completa de cambios, remito al Changelog que ya he comentado :-)

Posible cierre de SORBS

Alvaro Marín Illera — Mon, 22 Jun 2009 16:33:48 +0000

La popular conocida lista negra de SORBS, podría cerrar el 22 de Julio del presente 2009. Parece que la Universidad de Queensland, donde tenían el hosting, ha decidido no respetar el acuerdo que tenía con SORBS y por tanto ahora mismo está en venta a no ser que alguien pueda ofrecer espacio para un rack de 42 Us en Australia.

SORBS mantenía unas políticas de deslistado de IPs bastante controvertidas, llegando a veces hasta a cobrar por el deslistado de una IP de su lista negra. Es por ello que mucha gente se alegra de tal cierre.

De una u otra forma, SORBS ha sido una de las listas negras más usadas y que siempre ha estado ahí con sus listas de relays abiertos, proxys, SOCKS, rangos de IPs dinámicas…etc. Su trabajo hay que reconocerlo ya que llevan desde 2002 con dicho proyecto, soportando 30 billones de consultas DNS al día.

Veremos el 22 de Julio qué es lo que pasa.

El comunicado es el siguiente:

ANNOUNCEMENT: Possible SORBS Closure…

It comes with great sadness that I have to announce the imminent closure of SORBS. The University of Queensland have decided not to honor their agreement with myself and SORBS and terminate the hosting contract.

I have been involved with institutions such as Griffith University trying to arrange alternative hosting for SORBS, but as of 12 noon, 22nd June 2009 no hosting has been acquired and therefore I have been forced in to this announcement. SORBS is officially “For Sale” should anyone wish to purchase it as a going concern, but failing that and failing to find alternative hosting for a 42RU rack in the Brisbane area of Queensland Australia SORBS will be shutting down permanently in 28 days, on 20th July 2009 at 12 noon.

This announcement will be replicated on the main SORBS website at the earliest opportunity.

For information about the possible purchase of SORBS, the source code, data, hosts etc, I maybe contacted at michelle@sorbs.net, telephone +61 414 861 744.

For any hosting suggestions/provision, please be aware that the 42RU space is a requirement at the moment, and the service cannot be made into a smaller rackspace without a lot of new hardware, virtual hosting is just not possible. The SORBS service services over 30 billion DNS queries per day, and has a number of database servers with fast disk to cope with the requirements.

Thank you for all your support over the years,

Michelle Sullivan (Previously known as Matthew Sullivan)

Parche para razor 2.84

Alvaro Marín Illera — Mon, 20 Apr 2009 08:54:28 +0000

Vipul’s Razor es una herramienta distribuida y colaborativa de detección de spam, como bien dice en su página web website. Se basa en fingerprints de los mensajes, comparando el del mensaje a analizar con una base de datos pública y colaborativa. Suele ser usado desde SpamAssassin como plugin, asignando al test resultante una puntuación.

Aplicando este parche, puedes hacer una lista blanca con los fingerprints que generen falsos positivos, como especifica la documentación. El problema es que sin dicho parche y a pesar de que lo pone en la documentación, esta feature de lista blanca no funciona, como dice el propio Vipul en un mensaje.

Puedes bajarte el parche de http://postmaster.hostalia.com/razor2-2.84.diff y aplicarlo con el comando patch para habilitar esta funcionalidad. Luego basta con crear un archivo llamado razor-whitelist con por ejemplo, el siguiente contenido:

# Mensaje con "test" solamente sha1 75f8bcc2357366bbfa9c6ab0b6e5648ed0cf7083 # Mensaje con "Saludos" solamente sha1 X0qIKOQy7MrCnYhKH6s5o-FY5kQA # empty messages sha1 zdGTYRw61hrsYQoLvVL2vWL1u_EA sha1 _SsH-KtgO9VSZa2dpZ4fHt9OeOcA sha1 Hv5WLPo9LTz96VJOTNKYM3618zQA sha1 GKXO6MQg0SCjpwnR6yP7PX_G--4A

de tal forma que los mensajes con esos fingerprints no serán puntuados.

Estrella de sheriff de SpamHaus :-)

Alvaro Marín Illera — Tue, 10 Mar 2009 15:37:33 +0000

Como nota curiosa, SpamHaus nos concede una estrella de reconocimiento como red proactiva de no tolerancia al spam. Desde el equipo de abuse de Hostalia, estamos comprometidos con este asunto y tratamos los casos de spam/phishing/seguridad con toda la seriedad posible para acabar con ellos lo más rápido posible.

Que siga así :-)

Las listas individuales de SURBL cierran el 1 de Marzo

Alvaro Marín Illera — Tue, 10 Feb 2009 17:39:08 +0000

Según se puede leer en la propia sección de noticias de la web de SURBL, el 1 de Marzo del 2009, las zonas DNS de las listas individuales de SURBL, serán deshabilitadas.

SURBL llevaba ofreciendo hasta ahora las siguientes listas para consultar:

* sc.surbl.org – SpamCop web sites
* ws.surbl.org – sa-blacklist web sites
* ob.surbl.org – Outblaze URI blacklist
* ab.surbl.org – AbuseButler web sites
* ph – Phishing and malware sites
* jp – jwSpamSpy + Prolocation sites
* multi.surbl.org – Combined SURBL list

con lo que a partir del 1 de Marzo, solamente quedará multi.surbl.org, que es la que se deberá consultar.

SpamAssassin, desde su versión 3.0 (actualmente la última versión es la 3.2.5), consulta “multi” por lo que no es necesario hacer cambio alguno si se usan versiones superiores.

MailChannels y Commtouch junto a Plesk

Alvaro Marín Illera — Thu, 05 Feb 2009 08:35:03 +0000

Como se puede ver en las noticias de la web de MailChannels, esta empresa y Commtouch, dos importantes empresas de servicios relacionados con el correo electrónico y las soluciones antispam, se han unido para dar a Plesk un sistema antispam decente (no como la instalación por defecto de SpamAssassin, como hace ahora). El acuerdo consiste en el uso de la herramienta Traffic Control de MailChannels junto con los filtros de Commtouch para dar una solución completa. Un vídeo de la instalación puede verse aquí:

http://tcblog.mailchannels.com/2008/11/direct-from-mailchannels-labs-plesk.html

Es sencillo por lo que parece, pero tampoco tiene pinta de ofrecer muchas opciones de configuración, más bien ninguna. Una versión de prueba (30 días)de dicho software se puede bajar de:

http://mailchannels.com/download/parallels/nov2008

Habrá que probarlo a ver…

SaneSecurity vuelve a la carga

Alvaro Marín Illera — Thu, 22 Jan 2009 09:01:35 +0000

Comentábamos hace algo más de un mes que SaneSecurity cerraba momentáneamente debido a ciertos ataques DDoS que estaba sufriendo.

La buena noticia es que desde hace dos días, las firmas vuelven a estar disponibles, esta vez para bajarse vía rsync. Los archivos que incluye son los siguientes:

phish.ndb: phishing, malware, ecards
scam.ndb: spam, 419s, lottery, job, stocks
junk.ndb: phishing, malware, ecards, spam, 419s, lottery, job, stocks
spear.ndb: email spears/phishing, converted from http://code.google.com/p/anti-phishing-email-reply/
rogue.hdb: fake anti-virus software, other malware
spamimg.hdb: spam images
lott.ndb: simple lottery scams
spam.ldb: spam (using logical signatures)

phish.ndb.sig: gpg signed file for phish.ndb
scam.ndb.sig: gpg signed file for scam.ndb
junk.ndb.sig: gpg signed file for junk.ndb
spear.ndb.sig: gpg signed file for spear.ndb
rogue.hdb.sig: gpg signed file for rogue.hdb
spamimg.hdb.sig: gpg signed file for spamimg.hdb
lott.ndb: gpg signed file for lott.ndb
spam.ldb: gpg signed file for spam.ldb

Todos los cambios se encuentran en el siguiente PDF, que es recomendable leerlo. Para bajarse los archivos, como comentaba vía rsync, existe también algún script ya hecho.

Mil gracias a los administradores de SaneSecurity por brindarnos de nuevo sus firmas!

Tensa calma tras la desaparición de McColo

Alvaro Marín Illera — Tue, 25 Nov 2008 11:47:27 +0000

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

McColo Corp. fuera de juego!

Alvaro Marín Illera — Wed, 12 Nov 2008 09:25:18 +0000

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

Leyendo la lista de SpamAssassin, hacían referencia al siguiente artículo del WashingtonPost, que comenta cómo varios ISPs que daban conectividad a la empresa de hosting “McColo Corp.” han procedido a “cortarles” el servicio y por tanto, han hecho desaparecer a este ISP de Internet. Esta empresa se dedicaba al envío de spam desde sus servidores, alojamiento de pornografía infantil, fraude…etc; Security Fix se puso en contacto con los ISPs de ésta, comunicándoles a qué se dedicaban con informes creados por otras empresas de seguridad y parece que ha surgido efecto :-)

Posted at 07:06 PM ET, 11/11/2008
Major Source of Online Scams and Spams Knocked Offline

A U.S. based Web hosting firm that security experts say was responsible for facilitating more than 75 percent of the junk e-mail blasted out each day globally has been knocked offline following reports from Security Fix on evidence gathered about criminal activity emanating from the network.

For the past four months, Security Fix has been gathering data from the security industry about McColo Corp., a San Jose, Calif., based Web hosting service whose client list experts say includes some of the most disreputable cyber-criminal gangs in business today.

On Monday, Security Fix contacted the Internet providers that manage more than 90 percent of the company’s connection to the larger Internet, sending them information about badness at McColo as documented by the security industry.

…

Two hours later, I heard from Benny Ng, director of marketing for Hurricane Electric, the Freemont, Calif., company that was the other major Internet provider for McColo.

Hurricane Electric took a much stronger public stance: “We shut them down,” Ng said.

The badness attributed to McColo was not limited to spam. It included child pornography sites; sites that accepted payment for spam and child porn; rogue anti-virus Web sites; and a huge malicious software operation that apparently stole banking and credit card data from more than a half million people worldwide.

Otra buena noticia, junto a la de EstDomains que ya comentábamos el otro día :-)

Barracuda Reputation Block List

Alvaro Marín Illera — Mon, 22 Sep 2008 15:27:02 +0000

Según se puede leer en la web de Barracuda, acaban de poner en funcionamiento una lista de reputación (aunque por ahora, a pesar del nombre, parece una DNSBL simple) de acceso gratuito, previo registro:

At the end of September Barracuda Networks will introduce the Barracuda Reputation Block List (BRBL – pronounced “bahr-bel”) as a free DNSBL of IP addresses known to send spam.
…
The BRBL is open to public and can be used within reason. Barracuda is currently making this service available free of charge and we hope to keep it that way.

La “Listing Methodology” está aún en “Details coming soon…”, así que no podemos saber qué política de inclusión en la lista usan. No obstante, sí que tienen un formulario para dar de baja IPs.

Ya la estoy probando bajo SpamAssassin (es muy pronto aún para ponerla a nivel SMTP y más, sin saber su metodología de listado) y parece que está dando buenos resultados…veremos qué nivel de falsos positivos tiene, que es al fin y al cabo, el indicador más importante de la calidad de una lista negra.