Se trata de un nuevo protocolo mediante el cuál, un emisor que usa SPF y/o DKIM, puede indicar qué hacer si alguno de estos dos tests falla (nótese aquí la diferencia con el “hardfail”, “softfail”…etc de SPF) al llegar a un destinatario que consulte DMARC y es más, se establece un canal de comunicación para que el destinatario pueda reportar esos emails al propietario del dominio emisor, con el fin de que éste por ejemplo, pueda investigar los posibles casos de envíos fraudulentos, phishing…etc y atajarlos de forma rápida.

Existe ya un extenso draft al respecto que habrá que ir mirando, ya que la idea parece interesante. El modo de publicación de las políticas DMARC para un determinado dominio, es similar a las de SPF, mediante un registro TXT en el DNS, por ejemplo:

“v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@alvaromarin.com”

en el que se indica la política a aplicar por los destinatarios de mensajes de este dominio cuyos tests SPF/DKIM fallen (“reject” en este caso), el porcentaje de mensajes a los que aplicar esta política (100%) y la dirección donde enviar los reportes para ser analizados.

Habrá que seguir de cerca esta iniciativa.

La reciente operación contra la botnet Rustock por parte de Microsoft, hace escasos dos meses, seguramente tenga algo que ver. También la desactivación de la botnet Waledac el año pasado. No hay más que ver las gráficas al respecto:

Parece que toda la “industria” del malware se está dirigiendo más hacia las redes sociales; no hay más que ver el éxito cosechado por campañas de videos con virus o el “botón no me gusta” de Facebook y la facilidad de engaño que tienen.
Veremos cómo se presenta el futuro, sobre todo con la entrada de IPv6 en juego, que seguro que da un nuevo empuje a las botnes. Nos encontraremos con la problemática de la gestión de RBLs para la gran cantidad de IPs disponibles que habrá.

Esto es más aceptable; se soluciona el problema para evitar más envío de spam y se da de baja la IP de dicha lista negra. Hasta aquí correcto. El problema viene con listas que o tienen una política dudosa de listado (como listar rangos completos sin motivo alguno) o ponen mil impedimentos para dar de baja tu IP.

Por ello, desde el Foro Abuses, se acordó sacar un documento de consenso para comentar las listas más conocidas y ver cuáles eran las que más problemas nos acarreaban.

El documento final, muestra una serie de puntuaciones sobre las RBLs en base a varios criterios y califica a varias de ellas como “no recomendables” para su uso, como APEWS, SPAMCANNIBAL, UCEPROTECT…etc.

Este documento, obviamente, es público y se le puede dar la difusión que se considere (para eso está ;-) ).

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de “reportar como spam” para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo “peligroso”.

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de “reportar como spam” no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

1. Un usuario ve una lista que le pueda interesar y se apunta
2. Si es una lista “double opt-in” deberá contestar un mensaje de confirmación de alta
3. El usuario, empieza a recibir los mensajes de la lista
4. El usuario ve que realmente no le interesa por lo que para dejar de recibir dichos mensajes, en vez de usar el formulario de desuscripción que suele aparecer en el final del mensaje, empieza a marcar esos mensajes como spam

Es en este cuarto paso cuando empiezan los problemas (sobre todo para el emisor legítimo de esa newsletter). Y realmente es lo que esto se está haciendo últimamente. El usuario final, supongo que por vagancia, en vez de cumplimentar el proceso de baja de la lista empieza a marcar esos mensajes como spam; esto provoca que el emisor de los correos pueda tener problemas de bloqueos debido a que sus usuarios lo catalogan como correo no deseado (a pesar de haber permitido su envío al apuntarse a la lista).

Hotmail por ejemplo, toma muy en cuenta este feedback y puede convertir la IP de un servidor que envía correo de forma legítima, en una IP con reputación baja y que no puede enviar más mensajes. Además, está provocando que otros usuarios que sí quieren recibir esa newsletter no puedan hacerlo.

Para paliar esta tendencia, existen servicios como JMRPP que permiten a los administradores de listas de correos, qué mensajes son calificados por sus usuarios como spam, para poder así desuscribirlo directamente de la lista.

Por lo tanto, si quieres desuscribirte de una lista de correo, tómate 20 segundos de tu tiempo para hacerlo correctamente, por favor :-)

En la imagen vemos las listas negras (negro, rosa y verde) y el nivel de spam (marrón), han ido subiendo nuevamente hasta que se han vuelto a situar en los niveles “normales”.

Vamos, que aunque vino muy bien las medidas tomadas por ISPs americanos contra McColo, ha sido cuestión de pocos meses :-/

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

Leyendo la lista de SpamAssassin, hacían referencia al siguiente artículo del WashingtonPost, que comenta cómo varios ISPs que daban conectividad a la empresa de hosting “McColo Corp.” han procedido a “cortarles” el servicio y por tanto, han hecho desaparecer a este ISP de Internet. Esta empresa se dedicaba al envío de spam desde sus servidores, alojamiento de pornografía infantil, fraude…etc; Security Fix se puso en contacto con los ISPs de ésta, comunicándoles a qué se dedicaban con informes creados por otras empresas de seguridad y parece que ha surgido efecto :-)

Posted at 07:06 PM ET, 11/11/2008
Major Source of Online Scams and Spams Knocked Offline

Otra buena noticia, junto a la de EstDomains que ya comentábamos el otro día :-)

La línea rosa es nuestra RBL, rbl.dns-servicios.com, y el resto de líneas se corresponden con otra serie de RBLs o Rate Limits. Como se ve, existen una serie de picos (bastante notables) de emails rechazados, que siempre suelen darse a mitad tarde. El resto del día, la actividad es normal.

Se podría pensar que los bajones son causados por fallos de resolución DNS, falta de conectividad…etc (cosa que no se da en nuestros sistemas), pero en la lista de correo de MailScanner, el otro día, alguien comentaba que veía en sus gráficas algo parecido, lo cuál está bien porque hasta entonces no había encontrado información sobre el tema. Al menos no soy el único :D

Realicé un seguimiento de algunas IPs que más spam nos envían y el resultado es este:

Como se ve, también queda reflejado individualmente.

Seguiremos investigando a ver si se puede sacar algún patrón en concreto (no había ningún ASN típico de spammers que faltase en los momentos de bajón…).

Quién sabe :)

Adam Vitale, que así se llama el afortunado joven de 27 años de Brooklyn, se dedicó a hacer spam de un producto de seguridad informática. Parece que él, junto a un tal Todd Moeller, procedieron al envío de estos mensajes a través de proxies anónimos (seguramente PCs infectados), falsificando además las cabeceras necesarias.

Tendrá que pasar 65 segundos en la cárcel por cada uno de los mensajes que envió.

1’2 millones de mensajes son bastantes, pero parece un “cabeza de turco” para hacer demostrar que se está haciendo algo contra los spammers.

=======================

Dear abuse team,

=======================

Gracias a Net::Abuse::Utils, el script para sacar el contacto y hacer el envío es bastante sencillo.

Servicios parecidos pueden ser por ejemplo el que proporciona AOL, con su servicio de FBL o Microsoft con su Junk E-Mail Reporting Program, aunque ciertamente, más avanzados ;-)