Transparencias Master 2010/2011

Ayer mismo terminé de dar las clases en el Master de Seguridad de la Información de la Universidad de Deusto, relativas al módulo «Seguridad en sistemas de correo electrónico». A continuación, las transparencias usadas para la introducción a dicho módulo:

Reporte Q2-2010 de Commtouch

Como es habitual en Commtouch, han publicado el reporte sobre el Q2 del 2010. Se puede ver un vídeo o bien, bajarse el reporte en PDF, que incluye gráficas y detalles.

A modo de resumen, cabrían resaltar los siguientes topics:

– 179 billones de mensajes de spam/phishing diarios
– 82% del tráfico en este Q2 es spam, con un pico del 92% en Junio
– Dominios más usados en el FROM por spammers: gmail.com, hipenhot.nl, yahoo.com, 123greetings.com, hotmail.com…
– La mayoría de la «temática» del spam sigue siendo productos farmacéuticos (64%)
– 307.000 nuevos zombies activos diarios
– India, Brasil , Vietnam y Alemania son los países con más PCs zombies

Como siempre, buen trabajo estadístico por parte de Commtouch!

Euskaltel bloquea el tráfico saliente hacia el puerto 25

Como hace tiempo hizo Telefónica y como podemos ver a través de su centro de seguridad Nemesys, Euskaltel ha pasado a bloquear el tráfico saliente hacia el puerto 25 para alguna de sus redes.
Como dicen en su web:

El objetivo es evitar que los equipos de nuestros clientes puedan ser utilizados sin su consentimiento para envío masivo de SPAM, PHISHING y otras amenazas emergentes a día de hoy en Internet

Parece, no obstante, que el bloqueo se produce solamente a sus redes de IPs dinámicas.

Si por ejemplo, un cliente de Euskaltel tuviese un servicio de correo contratado en una empresa de hosting como puede ser Hostalia, simplemente cambiando el puerto de salida del 25 al 587 (como reza el RFC 2476 – Message Submission) en su cliente de correo, podría seguir usando dicho servicio.

Telefónica ya consiguió en su día salir de los primeros puestos de redes emisoras de spam con esta medida y a pesar de las quejas iniciales, todos nos hemos visto beneficiados por esta medida.

No queda más que decir que bien por Euskaltel y que a ver si el resto de ISPs siguen las mismas políticas.

Transparencias Master Seguridad Deusto

A continuación, dejo las transparencias usadas en el Master de Seguridad de la Información, en el que impartí el módulo de Seguridad en sistemas de correo electrónico.

Dicho módulo comenzó con estas transparencias introductorias en las que se da un repaso a todo lo que engloba el servicio de correo electrónico, como son los protocolos y RFCs, MTAs, el problema del spam, botnets, phishing, diversas técnicas antispam, filtrado por contenidos, pasarelas de correo…etc.

Espero que os resulte interesante ;-)

Reportar como spam != desuscribir

En los sistemas antispam, el feedback de los usuarios finales es algo fundamental. Son ellos al fin y al cabo quienes reciben el correo y nos permite ver qué efectividad de filtrado tenemos, qué casos de falsos positivos existen…etc. Esos reportes nos permiten que podamos corregirlos o tomar las medidas oportunas en cada situación.

Es común ver en los webmails, ya no solo de ISPs como el nuestro sino también en servicios gratuitos de correo electrónico como Hotmail, Gmail, Yahoo…etc el típico botón de «reportar como spam» para que el usuario pueda indicar que el email recibido es correo no deseado por él. Parece no obstante, que este botón se está convirtiendo en algo «peligroso».

Leyendo un interesante artículo llego a la misma conclusión que el autor. El botón de «reportar como spam» no sirve para desuscribirte de una lista de correo a la que estabas apuntado. Es la tendencia que estoy viendo últimamente; el proceso sería:

Sigue leyendo

Vuelta a la normalidad tras McColo

Han pasado ya casi 4 meses desde la desaparición de McColo. Ahora podemos ver que los niveles de spam están de nuevo al mismo nivel, más o menos, que antes de su paso a mejor vida, a mitad de Noviembre del 2008.

En la imagen vemos las listas negras (negro, rosa y verde) y el nivel de spam (marrón), han ido subiendo nuevamente hasta que se han vuelto a situar en los niveles «normales».

Vamos, que aunque vino muy bien las medidas tomadas por ISPs americanos contra McColo, ha sido cuestión de pocos meses :-/

Tensa calma tras la desaparición de McColo

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

SpamCop

Nosotros también seguimos notando dicho descenso.

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente:

Total

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

SpamHam

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una «tensa calma» ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la «crisis»).

McColo Corp. fuera de juego!

Esta mañana, al ver las gráficas de conexiones entrantes, mensajes rechazados…etc en nuestros relays de entrada, he notado un bajón importante en cuanto a spam recibido. La gráfica siguiente lo muestra claramente, cómo a partir de última hora de ayer empiezan a bajar los rechazos por listas negras (línea negra, rosa y verde):

Sigue leyendo

Comportamiento curioso de algunos spammers

Desde hace tiempo, 3 o 4 meses, vengo observando un comportamiento curioso por parte de algunos spammers. Se ve claramente en la siguiente imagen:

RBLs

La línea rosa es nuestra RBL, rbl.dns-servicios.com, y el resto de líneas se corresponden con otra serie de RBLs o Rate Limits. Como se ve, existen una serie de picos (bastante notables) de emails rechazados, que siempre suelen darse a mitad tarde. El resto del día, la actividad es normal.

Sigue leyendo

Los contactos del WHOIS

Tras un rediseño del sistema de notificaciones enviadas cuando una IP cae en nuestra lista negra RBL.DNS-SERVICIOS.COM, ahora el mensaje incluye una de las evidencias por la cuál ha sido listada. Con ella el ISP responsable de dicha IP podrá buscar el origen del mensaje de spam. Por ejemplo:

http://rbl.dns-servicios.com/ids/evidence.txt

Es curioso, no obstante, el «desastre» con el que uno se encuentra al enviar mensajes de este tipo a los contactos que aparecen en el WHOIS de las IPs:

mail.local: /var/mail/f/fkchung: Disc quota exceeded

Authentication required (in reply to MAIL FROM command)

Relay access denied (in reply to RCPT TO command)

Database disk quota exceeded

The user(s) account is temporarily over quota.

Reason: Over quota

Unable to deliver message to the following recipients, because
the message was forwarded more than the maximum allowed
times. This could indicate a mail loop.

Recipient address rejected: User unknown in local recipient
table (in reply to RCPT TO command)

Command rejected (in reply to end of DATA command)

Los hay incluso mejores, que pasan directamente de lo que pueda haber o salir de sus redes:


We would point out that, within its activity as a provider of
electronic communication services, XXXX merely provides its
clients with access to the Internet, which entails the activity
of simply transporting information over the network.

No obstante, también se reciben comentarios de agradecimiento por la información facilitada. Por ello y por ayudar a la erradicación de estas fuentes de spam, seguiremos con esta política.