Como nota curiosa, SpamHaus nos concede una estrella de reconocimiento como red proactiva de no tolerancia al spam. Desde el equipo de abuse de Hostalia, estamos comprometidos con este asunto y tratamos los casos de spam/phishing/seguridad con toda la seriedad posible para acabar con ellos lo más rápido posible.
Que siga así :-)
Según se puede leer en la propia sección de noticias de la web de SURBL, el 1 de Marzo del 2009, las zonas DNS de las listas individuales de SURBL, serán deshabilitadas.
SURBL llevaba ofreciendo hasta ahora las siguientes listas para consultar:
* sc.surbl.org – SpamCop web sites
* ws.surbl.org – sa-blacklist web sites
* ob.surbl.org – Outblaze URI blacklist
* ab.surbl.org – AbuseButler web sites
* ph – Phishing and malware sites
* jp – jwSpamSpy + Prolocation sites
* multi.surbl.org – Combined SURBL list
con lo que a partir del 1 de Marzo, solamente quedará multi.surbl.org, que es la que se deberá consultar.
SpamAssassin, desde su versión 3.0 (actualmente la última versión es la 3.2.5), consulta “multi” por lo que no es necesario hacer cambio alguno si se usan versiones superiores.
Como se puede ver en las noticias de la web de MailChannels, esta empresa y Commtouch, dos importantes empresas de servicios relacionados con el correo electrónico y las soluciones antispam, se han unido para dar a Plesk un sistema antispam decente (no como la instalación por defecto de SpamAssassin, como hace ahora). El acuerdo consiste en el uso de la herramienta Traffic Control de MailChannels junto con los filtros de Commtouch para dar una solución completa. Un vídeo de la instalación puede verse aquí:
http://tcblog.mailchannels.com/2008/11/direct-from-mailchannels-labs-plesk.html
Es sencillo por lo que parece, pero tampoco tiene pinta de ofrecer muchas opciones de configuración, más bien ninguna. Una versión de prueba (30 días)de dicho software se puede bajar de:
http://mailchannels.com/download/parallels/nov2008
Habrá que probarlo a ver…
Comentábamos hace algo más de un mes que SaneSecurity cerraba momentáneamente debido a ciertos ataques DDoS que estaba sufriendo.
La buena noticia es que desde hace dos días, las firmas vuelven a estar disponibles, esta vez para bajarse vía rsync. Los archivos que incluye son los siguientes:
phish.ndb: phishing, malware, ecards
scam.ndb: spam, 419s, lottery, job, stocks
junk.ndb: phishing, malware, ecards, spam, 419s, lottery, job, stocks
spear.ndb: email spears/phishing, converted from http://code.google.com/p/anti-phishing-email-reply/
rogue.hdb: fake anti-virus software, other malware
spamimg.hdb: spam images
lott.ndb: simple lottery scams
spam.ldb: spam (using logical signatures)
phish.ndb.sig: gpg signed file for phish.ndb
scam.ndb.sig: gpg signed file for scam.ndb
junk.ndb.sig: gpg signed file for junk.ndb
spear.ndb.sig: gpg signed file for spear.ndb
rogue.hdb.sig: gpg signed file for rogue.hdb
spamimg.hdb.sig: gpg signed file for spamimg.hdb
lott.ndb: gpg signed file for lott.ndb
spam.ldb: gpg signed file for spam.ldb
Todos los cambios se encuentran en el siguiente PDF, que es recomendable leerlo. Para bajarse los archivos, como comentaba vía rsync, existe también algún script ya hecho.
Mil gracias a los administradores de SaneSecurity por brindarnos de nuevo sus firmas!
Desde hace unos días, al ir a bajarme las firmas (firmas de spam, phishing y demás) de SaneSecurity para ClamAV, me daba un Not Found. Ayer, se publicó esto en su página web:
Plesk 9 ya ha sido publicado. Parece que han hecho un lavado de cara interesante, pero como este blog no es relativo a paneles de control, no comentaré más al respecto :D Más información sobre esto se puede encontrar en la página web de Parallels.
Un par de cosas interesantes respecto al correo electrónico que aparecen en este panel:
Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.
Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:
Nosotros también seguimos notando dicho descenso.
Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:
Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:
Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).
Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):
Parece que la ICANN se está empezando a tomar las cosas en serio. Acaba de retirar la acreditación de registrador a EstDomains, como se puede ver en esta nota:
http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf
EstDomains es un agente registrador que tiene registrados más de 240.000 dominios según WebHosting.info, mediante el cuál se registra(ba)n numerosos dominios para el envío de spam y diversos fraudes a través de Internet. Un informe más completo se puede encontrar en:
http://www.f-secure.com/weblog/archives/00001522.html
En dicho artículo se comenta la relación de EstDomains con Atrivo (también conocido como Intercage), ISP que ha sido noticia recientemente debido al cese del peering con ellos de otros ISPs americanos como UnitedLayer, que cansados de intercambiar tráfico con un ISP dedicado a las “malas artes”, decidieron poner fin a ello.
En resumen, bien por la ICANN!
Procedo a “liberar” un plugin que hice hace unos meses para qmail mediante el cuál, se puede realizar un rate limit de los emails que envía una cierta dirección.
El proceso consiste en guardar en una tabla en MySQL las direcciones que qmail va “viendo”. Existe otra tabla en la que se guarda el valor por defecto que se le quiere dar al límite (por ejemplo, 100 mensajes) y si se llega a dicho límite en un rango de tiempo (por defecto, en 1 hora) el mensaje es rechazado a nivel de SMTP temporalmente.
Existe también la posibilidad de poner límites diferentes para determinadas direcciones; por ejemplo, alguna persona que por X razón legítima necesite enviar más correos.
Además, existe una lista blanca para IPs a las cuáles no aplicar dichos límites. Por ejemplo, si tenemos unos relays de entrada.
Qmail debe estar parcheado con SPP para poder usar este plugin. Por ejemplo, el qmail de Plesk viene de serie ya parcheado, por lo que no hay más que copiarlo en /var/qmail/plugins/ y añadirlo en el archivo /var/qmail/control/smtpplugins.
En la siguiente URL puede ser descargado:
Comments(2)