www.alvaromarin.com

En la lista de distribución de postfix-users, alguien ha comentado la existencia de un proyecto llamado OpenSMTPD creado por los chicos de OpenBSD. De hecho, en LWN se habla sobre ello y anuncia una pronta primera release del software.

¿Para qué reinventar la rueda? “Simplemente” por cuestiones de licencia; parece que en OpenBSD no les gusta excesivamente la licencia pública de IBM que tiene Postfix, por ello han decidido desarrollar otro servidor SMTP.

Wietse Venema, el creador de Postfix, ya decía que no le apetecía mucho andar con jaleos de licencias con los abogados de IBM, y el bueno de él comenta:

Apart from that, if they come up with a decent MTA then I welcome
some competition. More motivation for me to look into postfix-lite.

Por lo que parece, Wietse tiene prevista hacer una limpieza de código importante, sobre todo evitando código de compatibilidad con versiones antiguas y demás:

Fully-featured as far as RFCs are concerned, but not necessarily
drop-in compatible with earlier Postfix configurations or file
formats.

Ideally this means eliminating thousands of lines of non-obvious
code, either by removing the feature or workaround altogether, or
by replacing it with code that is easier to maintain but not 100%
compatible. This will be a slow process.

Veremos cómo avanza OpenSMTPD, pero realmente lo tienen bastante difícil para desbancar no solo a Postfix, sino a otros proyectos ya muy maduros como Exim, Qmail, Sendmail…etc.
Tienen MUCHO trabajo por delante…suerte!

Comments(1)

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de “reportar como spam” para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo “peligroso”.

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de “reportar como spam” no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

(Lee el artículo entero)

Comments(6)

Como lo prometido es deuda…aquí van las transparencias de la presentación-introducción a FeedBack Loops y ARF que hice el 5 de Mayo, en el octavo Foro Abuses.

Puedes descargarlas aquí: Transparencias FBL-ARF.

Comments(0)

Por octava vez, el Foro ABUSES se reúne para tratar diversos temas sobre correo electrónico, abusos…etc.
En esta ocasión, se realizará en la Universidad Complutense de Madrid, con la siguiente agenda:

[+] Día 5 de Mayo

10.00-10.30h Sesión1 (mañana):Recepción y Bienvenida

ECO: Assciation of the German Internet Industry.
A cargo de: Sascha Wilms, Project Manager de ECO y CSA (Certified Sender Alliance) (La charla es en castellano)

* Introducción de ECO
* Actividades anti-abuse y anti-spam
* CSA Whitelist en sender++

FBLs (FeedBack Loops)y ARF (Abusing Reporting Format)

* Introducción. Alvaro Marin (Hostalia)
* Experiencias. Juan MIguel Morillas. (Telefonica España)
* Debate y propuestas

16.00-17.00h Sesión2 (tarde): Intercambio de experiencias entre miembros del Foro

* Experiencias con Conficker. Antonio Javier García Martinez. Seguridad Operaciones Telefónica (Seguridad Operaciones)

* Mundo-R: Experiencias sobre el control del puerto 25/SMTP
* Genetsis
* Vodafone

17.00-18.00h Propuesta compartir rangos IPs dinámicas

[+] Día 6 de Mayo

10.00-11.30h Sesión3 (mañana): Asuntos internos Foro ABUSES

Concurso de experiencias y buenas practicas en la gestión de incidentes abuse

13.00-13.30h Sesión final: Conclusiones y próxima reunión

Veremos qué da de sí :-)

Comments(2)

Ayer hablando con un ex-compañero, Imanol, ya me lo decía y justamente leyendo la lista de postfix-users salía un mensaje que lo comentaba:

$ dig mx microsoft.com +short
 10 mail.global.frontbridge.com.

$ telnet mail.global.frontbridge.com 25
Trying 65.55.88.22...
Connected to mail.global.frontbridge.com.
Escape character is '^]'.
220 mail156-tx2.bigfish.com ESMTP Postfix EGGS and Butter

Y así lo confirmaba el propio Victor Duchovni, que se podría decir que es la mano derecha de Wietse Venema, diciendo que Microsoft compró Frontbridge hace tiempo y que éstos usaban por aquél entonces Postfix en su versión 1.1. Parece entonces que lo siguen usando y seguramente, Microsoft tendrá una primera frontera de servidores con Postfix para hacer frente a todo el tráfico entrante, dada la excelente capacidad de este MTA de gestionar grandes cantidades de conexiones concurrentes como las que puede recibir Microsoft en sus MX.

Como fijarse en el banner es algo banal, haciendo alguna prueba con comandos no existentes y demás, sí parece tener las respuestas de Postfix. Pasando smtpscan obtenemos:

$ /usr/local/bin/smtpscan  mail.global.frontbridge.com
smtpscan version 0.5

  15 tests available
  3184 fingerprints in the database

Scanning mail.global.frontbridge.com (216.32.180.22) port 25
 15/15

Result --
503:501:501:250:501:250:450:502:502:502:502:502:502:250:250

Banner :
220 mail153-va3.bigfish.com ESMTP Postfix EGGS and Butter

No exact match. Nearest matches :
  - Postfix 1.1.11 (1)
  - Postfix (1)

Que es justamente lo que decía Viktor, un Postfix v1.1 modificado.

Parece que esto coincide además con el reciente lanzamiento de Hosted Exchange, algo que no ha sentado muy bien entre sus clientes ya que hacen clara competencia a sus partners.

Comments(3)

Supongo que para muchos el asunto no dice mucho, pero a modo de resumen, ARF (Abuse Reporting Format) es un formato que deberá ser estándar en breve (está en su séptimo draft) para los avisos de abusos.

Los ISPs cuando recibimos un ataque, mensaje de spam…etc solemos avisar al propietario de la red en la que se encuentra la IP origen para que resuelvan el problema (esto se indica en el WHOIS de la IP). Hasta ahora, cada ISP tenía su forma de enviar estos mensajes (llamados Feedback Loops pero ahora, en vez de enviar el típico email diciendo “tu IP manda spam, revisa tu servidor en busca de scripts/virus”, se está intentando estandarizar el formato de estos avisos para poder hacer más fácil la creación de parsers y herramientas de lectura y procesado; vamos, facilitar la vida a la gente de seguridad/abuse.

La última versión del draft ha sido publicada el 17 de Abril y puede leerse en:

http://www.shaftek.org/publications/drafts/abuse-report/draft-shafranovich-feedback-report-07.txt

Desde hoy mismo, los avisos automáticos de nuestra lista negra, rbl.dns-servicios.com se harán en dicho formato.

Sin embargo, los mensajes ARF de Hostalia tendrán el asunto como el mensaje original (el mensaje de spam) como dice el borrador precedido del texto “Abuse Report for IP X.X.X.X:” para permitir buscar fácilmente por IP, ordenar mensajes…hasta que el ARF sea RFC y los destinatarios hayan actualizado sus filtros y parseadores para permitir ARF.

Actualmente, AOL ( en su portal se puede leer ) y Outblaze envían ya sus avisos en este formato y nosotros nos unimos a esta iniciativa pionera a la espera de que se estandarice.

Para más información: http://postmaster.hostalia.com/arf.es.html

Y para recursos sobre ARF: http://wordtothewise.com/resources/arf.html

Comments(1)

Vipul’s Razor es una herramienta distribuida y colaborativa de detección de spam, como bien dice en su página web website. Se basa en fingerprints de los mensajes, comparando el del mensaje a analizar con una base de datos pública y colaborativa. Suele ser usado desde SpamAssassin como plugin, asignando al test resultante una puntuación.

Aplicando este parche, puedes hacer una lista blanca con los fingerprints que generen falsos positivos, como especifica la documentación. El problema es que sin dicho parche y a pesar de que lo pone en la documentación, esta feature de lista blanca no funciona, como dice el propio Vipul en un mensaje.

Puedes bajarte el parche de http://postmaster.hostalia.com/razor2-2.84.diff y aplicarlo con el comando patch para habilitar esta funcionalidad. Luego basta con crear un archivo llamado razor-whitelist con por ejemplo, el siguiente contenido:


# Mensaje con "test" solamente
sha1 75f8bcc2357366bbfa9c6ab0b6e5648ed0cf7083
# Mensaje con "Saludos" solamente
sha1 X0qIKOQy7MrCnYhKH6s5o-FY5kQA
# empty messages
sha1 zdGTYRw61hrsYQoLvVL2vWL1u_EA
sha1 _SsH-KtgO9VSZa2dpZ4fHt9OeOcA
sha1 Hv5WLPo9LTz96VJOTNKYM3618zQA
sha1 GKXO6MQg0SCjpwnR6yP7PX_G--4A


de tal forma que los mensajes con esos fingerprints no serán puntuados.

Comments(0)

Han pasado ya casi 4 meses desde la desaparición de McColo. Ahora podemos ver que los niveles de spam están de nuevo al mismo nivel, más o menos, que antes de su paso a mejor vida, a mitad de Noviembre del 2008.

En la imagen vemos las listas negras (negro, rosa y verde) y el nivel de spam (marrón), han ido subiendo nuevamente hasta que se han vuelto a situar en los niveles “normales”.

Vamos, que aunque vino muy bien las medidas tomadas por ISPs americanos contra McColo, ha sido cuestión de pocos meses :-/

Comments(0)

Cuelgo las transparencias que usé en el pasado Foro Abuses celebrado en Octubre del 2008 en León, en el que presenté al foro lo tratado en el MAAWG, un congreso sobre correo electrónico a nivel internacional cuya edición pasada se celebró en Heidelberg (Alemania) y al que tuve el placer de asistir.

Las transparencias en cuestión:

http://www.alvaromarin.com/wp-content/uploads/2009/04/Maawg-04.pdf

Espero que os gusten, a pesar de lo escuetas que son O:-)

Comments(0)

Ayer mismo se liberó la versión 0.95 de ClamAV, el antivirus libre más conocido y usado.

Esta nueva versión trae bastantes novedades que se pueden ver en la lista de correo de ClamAV announce, comentadas por Luca Gibelli.

Entre ellas, destaca una nueva herramienta llamada clamdtop que permite monitorizar qué está haciendo el demonio clamd en cada momento. Dejo un pantallazo de su aspecto ejecutándose en un servidor en el que he instalado esta nueva versión:

Comments(1)