Se trata de un nuevo protocolo mediante el cuál, un emisor que usa SPF y/o DKIM, puede indicar qué hacer si alguno de estos dos tests falla (nótese aquí la diferencia con el “hardfail”, “softfail”…etc de SPF) al llegar a un destinatario que consulte DMARC y es más, se establece un canal de comunicación para que el destinatario pueda reportar esos emails al propietario del dominio emisor, con el fin de que éste por ejemplo, pueda investigar los posibles casos de envíos fraudulentos, phishing…etc y atajarlos de forma rápida.

Existe ya un extenso draft al respecto que habrá que ir mirando, ya que la idea parece interesante. El modo de publicación de las políticas DMARC para un determinado dominio, es similar a las de SPF, mediante un registro TXT en el DNS, por ejemplo:

“v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@alvaromarin.com”

en el que se indica la política a aplicar por los destinatarios de mensajes de este dominio cuyos tests SPF/DKIM fallen (“reject” en este caso), el porcentaje de mensajes a los que aplicar esta política (100%) y la dirección donde enviar los reportes para ser analizados.

Habrá que seguir de cerca esta iniciativa.

En el siguiente gráfico, vemos como el número de mensajes que se procesan por el motor antispam (en este punto, se han pasado ya todas las RBLs y tests SMTP, por lo que son mensajes que pasan a ser procesados por MailScanner y SpamAssassin) da un bajón importante a partir de la puesta en marcha de dicho milter.

Todo esto sin un solo falso positivo :-)

Está claro, como el tiempo ha ido demostrando, que las formas de lucha contra el spam deben pasar por este tipo de soluciones. De hecho, habrá que empezar a probar seriamente PostScreen, una nueva funcionalidad que ya está presente en Postfix (a partir de su versión 2.8) y que permitirá tener una protección por delante del demonio smtpd. Prometo post sobre ello :-)

En el Changelog se puede leer una amplia lista de cambios y nuevas features introducidas en esta nueva versión.

A modo de resumen, comento varias de ellas:

- Las reglas no se distribuyen ahora con SpamAssassin, sino de forma independiente, por lo que después de instalarlo habrá que hacer un sa-update para proceder a bajarlas.

- El plugin de AWL (AutoWhiteList) pasa a estar deshabilitado por defecto. Daba bastantes problemas así que me parece correcto.

- El plugin de DKIM, pasa a estar habilitado por defecto. Un pequeño empujón para el tema de DKIM ;-)

- Nuevos parámetros para soportar reputaciones del servicio DCC

- Nuevas opciones para debugging

- Los scores de las reglas han sido generados mediante un algoritmo genético y pulidos gracias a reportes de usuarios, beta testers.

- Añadidas las listas PSBL, CSS, ReturnPath…

- …

Para ver la lista completa de cambios, remito al Changelog que ya he comentado :-)

SORBS mantenía unas políticas de deslistado de IPs bastante controvertidas, llegando a veces hasta a cobrar por el deslistado de una IP de su lista negra. Es por ello que mucha gente se alegra de tal cierre.

De una u otra forma, SORBS ha sido una de las listas negras más usadas y que siempre ha estado ahí con sus listas de relays abiertos, proxys, SOCKS, rangos de IPs dinámicas…etc. Su trabajo hay que reconocerlo ya que llevan desde 2002 con dicho proyecto, soportando 30 billones de consultas DNS al día.

Veremos el 22 de Julio qué es lo que pasa.

El comunicado es el siguiente:

ANNOUNCEMENT: Possible SORBS Closure…

Aplicando este parche, puedes hacer una lista blanca con los fingerprints que generen falsos positivos, como especifica la documentación. El problema es que sin dicho parche y a pesar de que lo pone en la documentación, esta feature de lista blanca no funciona, como dice el propio Vipul en un mensaje.

Puedes bajarte el parche de http://postmaster.hostalia.com/razor2-2.84.diff y aplicarlo con el comando patch para habilitar esta funcionalidad. Luego basta con crear un archivo llamado razor-whitelist con por ejemplo, el siguiente contenido:


# Mensaje con "test" solamente
sha1 75f8bcc2357366bbfa9c6ab0b6e5648ed0cf7083
# Mensaje con "Saludos" solamente
sha1 X0qIKOQy7MrCnYhKH6s5o-FY5kQA
# empty messages
sha1 zdGTYRw61hrsYQoLvVL2vWL1u_EA
sha1 _SsH-KtgO9VSZa2dpZ4fHt9OeOcA
sha1 Hv5WLPo9LTz96VJOTNKYM3618zQA
sha1 GKXO6MQg0SCjpwnR6yP7PX_G--4A


de tal forma que los mensajes con esos fingerprints no serán puntuados.

Que siga así :-)

SURBL llevaba ofreciendo hasta ahora las siguientes listas para consultar:

* sc.surbl.org – SpamCop web sites
* ws.surbl.org – sa-blacklist web sites
* ob.surbl.org – Outblaze URI blacklist
* ab.surbl.org – AbuseButler web sites
* ph – Phishing and malware sites
* jp – jwSpamSpy + Prolocation sites
* multi.surbl.org – Combined SURBL list

con lo que a partir del 1 de Marzo, solamente quedará multi.surbl.org, que es la que se deberá consultar.

SpamAssassin, desde su versión 3.0 (actualmente la última versión es la 3.2.5), consulta “multi” por lo que no es necesario hacer cambio alguno si se usan versiones superiores.

http://tcblog.mailchannels.com/2008/11/direct-from-mailchannels-labs-plesk.html

Es sencillo por lo que parece, pero tampoco tiene pinta de ofrecer muchas opciones de configuración, más bien ninguna. Una versión de prueba (30 días)de dicho software se puede bajar de:

http://mailchannels.com/download/parallels/nov2008

Habrá que probarlo a ver…

La buena noticia es que desde hace dos días, las firmas vuelven a estar disponibles, esta vez para bajarse vía rsync. Los archivos que incluye son los siguientes:

phish.ndb: phishing, malware, ecards
scam.ndb: spam, 419s, lottery, job, stocks
junk.ndb: phishing, malware, ecards, spam, 419s, lottery, job, stocks
spear.ndb: email spears/phishing, converted from http://code.google.com/p/anti-phishing-email-reply/
rogue.hdb: fake anti-virus software, other malware
spamimg.hdb: spam images
lott.ndb: simple lottery scams
spam.ldb: spam (using logical signatures)

phish.ndb.sig: gpg signed file for phish.ndb
scam.ndb.sig: gpg signed file for scam.ndb
junk.ndb.sig: gpg signed file for junk.ndb
spear.ndb.sig: gpg signed file for spear.ndb
rogue.hdb.sig: gpg signed file for rogue.hdb
spamimg.hdb.sig: gpg signed file for spamimg.hdb
lott.ndb: gpg signed file for lott.ndb
spam.ldb: gpg signed file for spam.ldb

Todos los cambios se encuentran en el siguiente PDF, que es recomendable leerlo. Para bajarse los archivos, como comentaba vía rsync, existe también algún script ya hecho.

Mil gracias a los administradores de SaneSecurity por brindarnos de nuevo sus firmas!

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).