31 diciembre 2009

El negocio de las listas antispam

Hace unos días publicamos una herramienta que servía para comprobar por línea de comandos si una IP concreta estaba listada como maliciosa en más de 90 listas negras. Los sistemas antispam comprueban en varias de estas listas si la IP origen aparece o no, para dotar de mayor o menor credibilidad los correos entrantes o directamente para denegarlos.

Nuestros lectores hicieron, en los comentarios del post, varias sugerencias que he empezado a codificar. Haciendo varias pruebas sobre el tema, además de haber creado una tarea programada en el cron de mi máquina, he observado que mi IP aparece como blacklisted!!!

La lista en la que aparece mi IP es: dnsbl-3.uceprotect.net Este tipo de lista negra tiene 3 niveles:
  • UCEPROTECT-Level1, es el de mayor impacto. Si la IP aparece en esta lista es que ha sido denunciada alguna vez por haber enviado spam en los últimos 7 días.
  • UCEPROTECT-Level2, varias IPs de la misma red a la que pertenece la buscada ha sido reportada en los últimos 7 días.
  • UCEPROTECT-Level3, más de 100 IPs del ASN del ISP (o el 0,2%) han sido reportadas en los últimos 7 días.
En mi caso, mi dirección IP aparece en la de nivel 3, lo cual es algo de lo más normal si pensamos en la cantidad de IPs infectadas por malware de clientes de las redes de Telefonica.

Espero que los sistemas antispam no tengan muy en cuenta que un correo que venga de mi IP esté listada en el nivel 3, pero.. ¿y si no fuera así? ¿y si aparezco en nivel 1 o nivel 2? Seguro que en ese caso, un sistema antispam configurado en modo fascista o incluso algunas configuraciones por defecto podrían llegar a afectarnos, haciendo que los correos de nuestra organización sean considerados como spam y no lleguen a su destino correctamente. No os preocupéis; en la página web de la lista negra te permiten solicitar que nos eliminen de ella inmediatamente.

En listas bastante conocidas y populares como las de Spamhaus, esta acción es gratuita. Sin embargo, en las de UCEPROTECT, tenemos como opciones esperar 7 días desde que nos reportaron (asumiendo las degradación del servicio de correo saliente) o pagar para un "Expressdelist" (como le llaman ellos). Atención a los precios: si aparecemos en nivel 3, hay que pagar 250 euros; si estás en nivel 1 son 50 euros y si estás en nivel 2 creo que 150 euros. Por supuesto, si nos vuelven a listar, habrá que pagar de nuevo...

Pero, esperad, el negocio llega aún más lejos. UCEPROTECT, cuando recibe una denuncia de una IP, comprueba si la dirección IP aparece en Whitelisted.org. En este caso, si por supuesto has pagado antes (desde 10 euros a los 6 meses, hasta 40 euros por 24 meses), puedes evitar aparecer en los niveles 2 y 3 (puesto que tú no has generado el tráfico malicioso directamente sino que ha sido IPs de tu misma red o ASN).

Me parece una extorsión y por supuesto un negocio que debería ser ilegal, que para que seas eliminado en menos de 7 días haya que pagar por ello. Igualmente con aparecer en la lista blanca. Una organización que se dedique a hacer spam de forma directa y gane dinero con ello puede pagar cuantas veces sean necesarias los 50 euros para que le hagan un expressdelist para una campaña determinada. Además, algunas de estas organizaciones, cuentan con tarjetas de crédito robadas para cometer otros fraudes por lo que pueden alegremente cargar los peajes del expressdelisting al dueño original de la tarjeta.

11 comments :

Anónimo dijo...

Que putada lo del nivel 3 con telefónica.

Anónimo dijo...

Yo hace tiempo que recibo SPAM desde mis propias cuentas de correo e imagino que otra gente también recibe mi supuesto SPAM.

Hace ya como un par de años quizás. Intenté solucionarlo pero no he sabido cómo. El del hosting dice que es de la compañía de Internet, esta dice que no. Ya he probado varios antivirus... En su día también ví que estaba en una lista negra, pero buscando en su web no ví manera de enviarles un e-mail para quejarme y además no hubiera sabido, ya que no hablo inglés.

Chema Alonso dijo...

Lorenzo, muy buen artículo. Estoy contigo, me parece un negocio "poco claro" el de estos.

Anónimo dijo...

Telefónica entra y sale del nivel 3 de vez en cuando. Hace un mes o así que lo mire y estaba en alerta roja, pero ahora con las navidades siempre sube el spam. Supongo que volvará a salir pronto.

Aunque si yo tuviera un servidor nunca rechazaría mails de un AS entero.

Lorenzo Martínez dijo...

@Anónimo.* -> El Spam es uno de los mayores problemas de Internet. Los últimos estudios consideran que es más o menos el 95% del tráfico de correo total, lo cuál es una barbaridad y de ahí que haya que intentar mitigarlo de la mejor manera posible. El mayor inconveniente de los mecanismos antispam es el ser demasiado restrictivo pudiendo bloquear correos deseados. Por eso como dice Anónimo3, es una barbaridad el bloquear un AS o una red normal completa si no todas las IPs que la conforman son "pecadoras",...

@Maligno -> Internet genera negocio por todas partes y esta gente ha encontrado la gallina de los huevos de oro. El tema está en que no dan un servicio que si quieres lo coges y si no, no... sino que te produce un perjuicio estar en una lista hasta 7 días y no poder eliminarte de ella si no es pagando... o pagar para prevenir que te metan. Es muy ladino!

Anónimo dijo...

Hace unos años tuve una experiencia en mi empresa debido a que por aquel entonces en ciertas condiciones los filtros antispam no borraban el spam sino que a veces lo rebotaban y claro, este error de configuracion provocó que nos listaran la IP del MX no en una sino en varias listas...

Una vez reparado el problema, el tema de las listas tuvimos que atajarlo cambiando (con el trastorno que eso conlleva) la IP del servidor (una vez reparado el error, claro), porque no era plan de ir pagando a unos y a otros y afortunadamente disponiamos de varias IPs publicas en desuso, pero esto evidentemente fue una solucion a la desesperada y salimos bien parados para haber sido un error nuestro...

Creo que hoy en dia en enfoque de las RBLs es incorrecto o al menos obsoleto... si la configuracion del sistema de correo es correcta y no eres culpable de nadal, no deberias sufrir estas cosas, que en nuetro caso fue merecido pero normalmente lo sufren mas los justos que los pecadores, que como bien dice Lorenzo ya es mas un negocio que otra cosa, y con el dinero que ganan los spammers se lo pueden permitir. Es como los programas de cotilleos, que parte de su presupuesto esta reservado de antemano para posibles demandas...

Opino que se debe promocionar más el uso de tecnicas infrautilizadas para autentificacion de dominios, como son SenderID, SPF o DKIM, que aun sin ser la piedra filosofal ayudarían muy mucho si se extendiende su uso, y que sean las autoridades y no empresas comerciales las que se ocupen de perseguir a los spammers, y que a este asunto se le otorgue la importancia y status delictivo que tienen. Seguro que tirando del hilo se destaparian mafias que no solo se dedican a esto.

pablo dijo...

Hay un error en tu entrada en la parte del nivel 3, has puesto que es una IP y realmente son más de 100 o el 0.2%:

UCEPROTECT-Level 3 lists all IP's within an ASN except those approved and clean IP's that are registered at ips.whitelisted.org if more than 100 IP's, but also a minimum of 0.2% of all IP's allocated to this ASN got Level 1 listed within the last 7 days.

Con esto no quiero defender el abuso de Uceprotect ni al impresentable que la mantiene (Claus v. Wolfhausen), que es todo un troll en cualquier foro/lista que se comente el tema, como nanae por ejemplo.

Otra lista antispam con una moral dudosa es Sorbs, que te deslista inmediatamente si pagas "una donación" o te esperas un año (creo recordar) sin que haya denuncias.

Lorenzo Martínez dijo...

@Anónimo4 -> Escalofriante la experiencia que relatas. La verdad es que una posible contramedida es tener verios MX con menor prioridad de diferentes direccionamientos IP. Incluso tener una última opción mediante Google Apps. Es importante no perder servicio de correo saliente, pero más importante es no perder correos entrantes... No obstante, lo de pagar por ser eliminado de listas negras, hace que una solución más o menos efectiva se ensucie de una forma tal que le reste objetividad.

@Pablo -> Muchas gracias por tu input. Lo he modificado como indicabas. De momento los servicios que parecen ser bastante fiables o al menos no alterables/corruptibles y muy popularmente usados, son los de spamhaus y spamcop. No obstante, lo que no compre don Dinero,...

Unknown dijo...

Tampoco es aceptable que hagan publicidad de su producto antispam como "LA solución al problema" :
http://www.uceprotect.com/

es una verguenza..

MhBeyle dijo...

¿Cómo es posible que un servidor "anti-spam" permita la eliminación de su lista de cualquier IP que pague su tarifa de contabandista?? ¿Qué es peor, el spam o este tipo de listados piratas?
Lo que claramente hay que fomentar es la eliminación de la mierda de UCEPROTECT de las listas de configuración de servidores "blacklist".
UCEPROTECT es una verguenza soportada hasta hace bien poco (no sé si todavía es así) por servidores de correo como Yahoo o Hotmail.
No quiero pensar mal, pero que un retrasado como Wolfhausen haya llegado hasta aquí sólo ha sido gracias al soporte de empresas como las que escribo en el párrafo anterior.
La única forma de borrar del mapa a UCEPROTECT y las que surjan en el futuro es, primero, protestando en todos aquellos lugares donde aparezca y, segundo, eliminando toda referencia a este servidor en nuestros filtros de correo.
Ya tenemos Spamhaus como ejemplo de como se hacen las cosas de forma correcta ¿Para qué sirve entonces UCEPROTECT??

cristian dijo...

hijos de puta me tiene 7 días por un puto rebote,