Se trata de un nuevo protocolo mediante el cuál, un emisor que usa SPF y/o DKIM, puede indicar qué hacer si alguno de estos dos tests falla (nótese aquí la diferencia con el “hardfail”, “softfail”…etc de SPF) al llegar a un destinatario que consulte DMARC y es más, se establece un canal de comunicación para que el destinatario pueda reportar esos emails al propietario del dominio emisor, con el fin de que éste por ejemplo, pueda investigar los posibles casos de envíos fraudulentos, phishing…etc y atajarlos de forma rápida.

Existe ya un extenso draft al respecto que habrá que ir mirando, ya que la idea parece interesante. El modo de publicación de las políticas DMARC para un determinado dominio, es similar a las de SPF, mediante un registro TXT en el DNS, por ejemplo:

“v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@alvaromarin.com”

en el que se indica la política a aplicar por los destinatarios de mensajes de este dominio cuyos tests SPF/DKIM fallen (“reject” en este caso), el porcentaje de mensajes a los que aplicar esta política (100%) y la dirección donde enviar los reportes para ser analizados.

Habrá que seguir de cerca esta iniciativa.

Ya se publicó, hace un par de meses, la nota de prensa del acuerdo con
Open-Xchange, la suite colaborativa open source por excelencia. Y ayer fue el momento en que el producto se lanzó y salío a Internet.

No voy a hacer publicidad desde estas líneas, esto es simplemente una reseña por el trabajo de los últimos meses ;-)

La reciente operación contra la botnet Rustock por parte de Microsoft, hace escasos dos meses, seguramente tenga algo que ver. También la desactivación de la botnet Waledac el año pasado. No hay más que ver las gráficas al respecto:

Parece que toda la “industria” del malware se está dirigiendo más hacia las redes sociales; no hay más que ver el éxito cosechado por campañas de videos con virus o el “botón no me gusta” de Facebook y la facilidad de engaño que tienen.
Veremos cómo se presenta el futuro, sobre todo con la entrada de IPv6 en juego, que seguro que da un nuevo empuje a las botnes. Nos encontraremos con la problemática de la gestión de RBLs para la gran cantidad de IPs disponibles que habrá.

18 Mayo 2011 (miércoles)

Esta sesión será cerrada a miembros del Foro ABUSES

09.30h-10.00h Recepción

10.00h-10.45h Bienvenida y presentación Brigada Investigación Tecnológica (BIT)

10.45h-11.00h Descanso, café y tertulia

11.00h-12.00 Propuesta de Objetivos Foro ABUSES
Moderador: Susana Rey

12.00h-13.30h Evolución del Foro para consecución de Objetivo
Moderador: Carlos Olea (Telefónica Internacional)

13.30h-16.00h Comida

16.00h-17.00h Conclusiones sobre evolución del Foro

17.00h-18.00 Propuesta de proyecto colaborativo en la lucha contra la propagación del malware. Roberto (Abbansys)

19 Mayo 2011 (jueves)
10.00h-10.45h Experiencias de la Guardia Civil

10.45h-11.00h Descanso, café y tertulia

11.00h-12.30h Temas varios:

Sistema de intercambio de firmas malware. Roberto Navarro (Abansys)
Red de spamtraps de RedIRIS
Caso estudios sobre el último bloqueo de hotmail
Nueva herramienta colaborativa para Foro ABUSES

12.30h-13.00h Próxima reunión

13.30h Comida comunal

En el siguiente gráfico, vemos como el número de mensajes que se procesan por el motor antispam (en este punto, se han pasado ya todas las RBLs y tests SMTP, por lo que son mensajes que pasan a ser procesados por MailScanner y SpamAssassin) da un bajón importante a partir de la puesta en marcha de dicho milter.

Todo esto sin un solo falso positivo :-)

Está claro, como el tiempo ha ido demostrando, que las formas de lucha contra el spam deben pasar por este tipo de soluciones. De hecho, habrá que empezar a probar seriamente PostScreen, una nueva funcionalidad que ya está presente en Postfix (a partir de su versión 2.8) y que permitirá tener una protección por delante del demonio smtpd. Prometo post sobre ello :-)

Hasta ahora, solo estaba implementado el soporte para RBLs (listas negras) así que cualquier lista blanca de IPs que se quisiese implementar, había que hacerlo con un archivo de texto con el listado de IPs en el propio servidor. Ahora, con esta nueva feature, se puede indicar a Postfix que si la consulta DNS (preguntar por el registro A de la IP a la inversa seguida del dominio, normalmente) para una determinada IP contra una lista blanca basada en DNS, devuelve una IP concreta, pueda evitarse que sigan otros chequeos antispam (como RBLs).

El propio ChangeLog de Postfix 2.8 (versión de desarrollo) ya indica dicha mejora:

20101105

Feature: DNS whitelist support in the Postfix SMTP server.
permit_dnswl_client whitelists a client by IP address, and
permit_rhswl_client whitelists a client by its hostname.
The syntax is the same as reject_rbl_client etc., but the
result is PERMIT instead of REJECT. For safety reasons,
permit_xxx_client are silently ignored when they would
override reject_unauth_destination. The result is
DEFER_IF_REJECT when DNSWL lookup fails. The implementation
is based on a design documented by Noel Jones (August 2010).
File: smtpd/smtpd_check.c.

La documentación también hace referencia a ello.

Eso sí, habrá que esperar algún tiempo hasta que entre en la rama estable actual, la 2.6.

Así que lo que antes era un Internet-draft, ahora ya es un RFC, el RFC 5965. Ahora solo falta lo más complicado…que todos los ISPs empecemos a adoptarlo :)

La idea como tal no es nueva pero ya sabemos que cuando Google hace algo, parece que lo hace a lo grande :)
Sin embargo, algo parecido ya lo habían puesto en marcha antes Yahoo y Microsoft.

Yahoo con su pestaña “What’s New” ya mostraba los mensajes de correo de los contactos de la libreta de los que hubiese correo y de las conexiones (a través de otros servicios “sociales”) antes que cualquier otro; incluso un twitt de un contacto, podía salir antes en dicho tab que un e-mail . Además, las vistas del inbox del webmail de Yahoo ya permitían ver solamente los mensajes de tus contactos, de tus conexiones…etc.

Hotmail por su parte, también había cambiado su página de inicio, mostrando solamente mensajes e información de contactos y amigos. En el webmail, también se pueden usar las vistas “de contactos”, “actualizaciones sociales”…etc, para ver lo que más interese. Además, si Hotmail detecta que estás borrando directamente los mensajes de alguna lista a la que te hayas suscrito, te ofrece un botón para desuscribirte fácilmente (para mí, esta es la mejor feature por encima de cualquier otra, por lo ya comentado hace tiempo). Además, desde hace poco, para decidir la acción a realizar con un mensaje, pesa más el resultado del análisis que se haya hecho sobre el usuario que la decisión global. Las métricas que se usan para hacer dicho análisis por usuario son: mensajes leídos y borrados, mensajes no leídos y borrados, mensajes respondidos…etc.

El servicio de Gmail seguramente sea el más completo (también es el último en salir), pero también hay que decir que ha sido el que mejor ha sabido venderse.

A modo de resumen, cabrían resaltar los siguientes topics:

- 179 billones de mensajes de spam/phishing diarios
- 82% del tráfico en este Q2 es spam, con un pico del 92% en Junio
- Dominios más usados en el FROM por spammers: gmail.com, hipenhot.nl, yahoo.com, 123greetings.com, hotmail.com…
- La mayoría de la “temática” del spam sigue siendo productos farmacéuticos (64%)
- 307.000 nuevos zombies activos diarios
- India, Brasil , Vietnam y Alemania son los países con más PCs zombies

Como siempre, buen trabajo estadístico por parte de Commtouch!