www.alvaromarin.com

Es común en los ISPs tener problemas con ciertas RBLs ( hasta Telefónica los tuvo con Hotmail hace poco aunque estos últimos no usen RBLs públicas sino más bien sistemas de reputación); son miles los clientes y las IPs que se gestionan, y siempre puede haber alguna intrusión en algún servidor, algún cliente al que le han robado el usuario/contraseña…etc.

Esto es más aceptable; se soluciona el problema para evitar más envío de spam y se da de baja la IP de dicha lista negra. Hasta aquí correcto. El problema viene con listas que o tienen una política dudosa de listado (como listar rangos completos sin motivo alguno) o ponen mil impedimentos para dar de baja tu IP.

Por ello, desde el Foro Abuses, se acordó sacar un documento de consenso para comentar las listas más conocidas y ver cuáles eran las que más problemas nos acarreaban.

El documento final, muestra una serie de puntuaciones sobre las RBLs en base a varios criterios y califica a varias de ellas como “no recomendables” para su uso, como APEWS, SPAMCANNIBAL, UCEPROTECT…etc.

Este documento, obviamente, es público y se le puede dar la difusión que se considere (para eso está ;-) ).

Comments(4)

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de “reportar como spam” para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo “peligroso”.

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de “reportar como spam” no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

(Lee el artículo entero)

Comments(5)

Han pasado ya casi 4 meses desde la desaparición de McColo. Ahora podemos ver que los niveles de spam están de nuevo al mismo nivel, más o menos, que antes de su paso a mejor vida, a mitad de Noviembre del 2008.

En la imagen vemos las listas negras (negro, rosa y verde) y el nivel de spam (marrón), han ido subiendo nuevamente hasta que se han vuelto a situar en los niveles “normales”.

Vamos, que aunque vino muy bien las medidas tomadas por ISPs americanos contra McColo, ha sido cuestión de pocos meses :-/

Comments(0)

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

Comments(11)

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

(Lee el artículo entero)

Comments(3)

Desde hace tiempo, 3 o 4 meses, vengo observando un comportamiento curioso por parte de algunos spammers. Se ve claramente en la siguiente imagen:

La línea rosa es nuestra RBL, rbl.dns-servicios.com, y el resto de líneas se corresponden con otra serie de RBLs o Rate Limits. Como se ve, existen una serie de picos (bastante notables) de emails rechazados, que siempre suelen darse a mitad tarde. El resto del día, la actividad es normal.

(Lee el artículo entero)

Comments(0)

Se puede leer en The Register que un spammer ha sido condenado a 30 meses de cárcel y a pagar $180.000 a AOL debido al envío de 1′2 millones de mensajes basura a sus clientes.

(Lee el artículo entero)

Comments(1)

Desde hace unos días, cuando una IP se añade a la lista negra rbl.dns-servicios.com, que actualmente tiene ya 5 millones de IPs listadas, se procede a enviar un mensaje de aviso sobre el incidente al contacto del WHOIS de la IP en cuestión para que pueda comprobar el estado de la máquina con dicha dirección. La notificación es algo como:

=======================

Dear abuse team,

–
Postmaster – Hostalia/DNS-Servicios
postmaster@hostalia.com
http://postmaster.hostalia.com

=======================

Gracias a Net::Abuse::Utils, el script para sacar el contacto y hacer el envío es bastante sencillo.

Servicios parecidos pueden ser por ejemplo el que proporciona AOL, con su servicio de FBL o Microsoft con su Junk E-Mail Reporting Program, aunque ciertamente, más avanzados ;-)

Comments(1)

Ya hablaba en anteriores posts sobre Srizbi la botnet más grande existente y que mas spam genera.

Tras mi llegada del MAAWG en el que hubo una charla de IronPort sobre este tema, seguí en contacto con ellos con el fin de facilitarles unas estadísticas sobre las conexiones realizadas por dicho bot a nuestros servidores. A continuación, los resultados del día 23 de Junio (24 horas) tras el análisis de las conexiones y fingerprints de las máquinas que se conectaban a nuestros sistemas:

(Lee el artículo entero)

Comments(3)

Parece que hay rumores de que los servidores de correo de Google tienen una vulnerabilidad que podría permitir el envío de mensajes masivos desde éstos.

Por ahora parece que en el informe no hay demasiados detalles a la espera de una respuesta por parte de Google, pero según acaban de comentar en Bugtraq un integrante del equipo de INSERT:

Hi,

We are not talking about backscattering. Our attack uses Google’s MX servers like open SMTP relays.
Messages are delivered as sent, and not as a delivery failure notification.

We are still expecting to hear from Google, but we will be releasing more details about the issue
together with the PoC exploit shortly.

Sería interesante que Google desmintiese esta noticia si es falsa o si es verdad, anuncie la resolución de dicha vulnerabilidad.

Comments(0)