DMARC: Domain-based Message Authentication, Reporting & Conformance

Un grupo de empresas de la “élite” actual de Internet, entre las que están Google, Microsoft, Facebook y Paypal, han anunciado una nueva especificación técnica colaborativa llamada DMARC “Domain-based Message Authentication, Reporting & Conformance”.

Se trata de un nuevo protocolo mediante el cuál, un emisor que usa SPF y/o DKIM, puede indicar qué hacer si alguno de estos dos tests falla (nótese aquí la diferencia con el “hardfail”, “softfail”…etc de SPF) al llegar a un destinatario que consulte DMARC y es más, se establece un canal de comunicación para que el destinatario pueda reportar esos emails al propietario del dominio emisor, con el fin de que éste por ejemplo, pueda investigar los posibles casos de envíos fraudulentos, phishing…etc y atajarlos de forma rápida.

Existe ya un extenso draft al respecto que habrá que ir mirando, ya que la idea parece interesante. El modo de publicación de las políticas DMARC para un determinado dominio, es similar a las de SPF, mediante un registro TXT en el DNS, por ejemplo:

“v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@alvaromarin.com”

en el que se indica la política a aplicar por los destinatarios de mensajes de este dominio cuyos tests SPF/DKIM fallen (“reject” en este caso), el porcentaje de mensajes a los que aplicar esta política (100%) y la dirección donde enviar los reportes para ser analizados.

Habrá que seguir de cerca esta iniciativa.

Bajada histórica del spam

Ya comentamos en el pasado Foro Abuses varios de los ISPs allí reunidos, que habíamos notado un descenso bastante acusado de los niveles de spam y rechazo por RBLs.

La reciente operación contra la botnet Rustock por parte de Microsoft, hace escasos dos meses, seguramente tenga algo que ver. También la desactivación de la botnet Waledac el año pasado. No hay más que ver las gráficas al respecto:

RBLs

Parece que toda la “industria” del malware se está dirigiendo más hacia las redes sociales; no hay más que ver el éxito cosechado por campañas de videos con virus o el “botón no me gusta” de Facebook y la facilidad de engaño que tienen.
Veremos cómo se presenta el futuro, sobre todo con la entrada de IPv6 en juego, que seguro que da un nuevo empuje a las botnes. Nos encontraremos con la problemática de la gestión de RBLs para la gran cantidad de IPs disponibles que habrá.

Recomendaciones de RBLs del Foro Abuses

Es común en los ISPs tener problemas con ciertas RBLs ( hasta Telefónica los tuvo con Hotmail hace poco aunque estos últimos no usen RBLs públicas sino más bien sistemas de reputación); son miles los clientes y las IPs que se gestionan, y siempre puede haber alguna intrusión en algún servidor, algún cliente al que le han robado el usuario/contraseña…etc.

Esto es más aceptable; se soluciona el problema para evitar más envío de spam y se da de baja la IP de dicha lista negra. Hasta aquí correcto. El problema viene con listas que o tienen una política dudosa de listado (como listar rangos completos sin motivo alguno) o ponen mil impedimentos para dar de baja tu IP.

Por ello, desde el Foro Abuses, se acordó sacar un documento de consenso para comentar las listas más conocidas y ver cuáles eran las que más problemas nos acarreaban.

El documento final, muestra una serie de puntuaciones sobre las RBLs en base a varios criterios y califica a varias de ellas como “no recomendables” para su uso, como APEWS, SPAMCANNIBAL, UCEPROTECT…etc.

Este documento, obviamente, es público y se le puede dar la difusión que se considere (para eso está ;-) ).

Reportar como spam != desuscribir

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de “reportar como spam” para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo “peligroso”.

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de “reportar como spam” no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

Sigue leyendo

Vuelta a la normalidad tras McColo

Han pasado ya casi 4 meses desde la desaparición de McColo. Ahora podemos ver que los niveles de spam están de nuevo al mismo nivel, más o menos, que antes de su paso a mejor vida, a mitad de Noviembre del 2008.

En la imagen vemos las listas negras (negro, rosa y verde) y el nivel de spam (marrón), han ido subiendo nuevamente hasta que se han vuelto a situar en los niveles “normales”.

Vamos, que aunque vino muy bien las medidas tomadas por ISPs americanos contra McColo, ha sido cuestión de pocos meses :-/

Tensa calma tras la desaparición de McColo

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

SpamCop

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Total

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

SpamHam

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

McColo Corp. fuera de juego!

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

Sigue leyendo

Comportamiento curioso de algunos spammers

Desde hace tiempo, 3 o 4 meses, vengo observando un comportamiento curioso por parte de algunos spammers. Se ve claramente en la siguiente imagen:

RBLs

La línea rosa es nuestra RBL, rbl.dns-servicios.com, y el resto de líneas se corresponden con otra serie de RBLs o Rate Limits. Como se ve, existen una serie de picos (bastante notables) de emails rechazados, que siempre suelen darse a mitad tarde. El resto del día, la actividad es normal.

Sigue leyendo

Notificaciones de RBL.DNS-SERVICIOS.COM

Desde hace unos días, cuando una IP se añade a la lista negra rbl.dns-servicios.com, que actualmente tiene ya 5 millones de IPs listadas, se procede a enviar un mensaje de aviso sobre el incidente al contacto del WHOIS de la IP en cuestión para que pueda comprobar el estado de la máquina con dicha dirección. La notificación es algo como:

=======================

Dear abuse team,

You are receiving this e-mail because this account (abuse@xxx) is the whois contact of X.X.X.X.

X.X.X.X has been added to our blacklist, RBL.DNS-SERVICIOS.COM, because we’ve received
spam messages from it. You can read more about this on:

http://rbl.dns-servicios.com/

Please, review the status of the server or workstation with this IP to avoid sending spam.

You don’t need to answer this e-mail, it’s an automatic notification system.
If you want to remove X.X.X.X from our blacklist, go to:

http://rbl.dns-servicios.com/

Regards,


Postmaster – Hostalia/DNS-Servicios
postmaster@hostalia.com
http://postmaster.hostalia.com

=======================

Gracias a Net::Abuse::Utils, el script para sacar el contacto y hacer el envío es bastante sencillo.

Servicios parecidos pueden ser por ejemplo el que proporciona AOL, con su servicio de FBL o Microsoft con su Junk E-Mail Reporting Program, aunque ciertamente, más avanzados ;-)