Sistemas de reputación desde la mirada del Foro ABUSES

Autores: Foro Abuses: http://www.abuses.es/

José D. Domenech, Sergio Bastian, Jesus Sanz de las Heras, Francisco Monserrat

Indice

Introducción a los sistemas de reputación

Uno de los métodos más empleados para reducir la entrada de correo basura a los buzones de correo ha sido el uso de listas de reputación. En general, los sistemas de reputación se basan en la clasificación de direcciones IP en función de la actividad considerada hostil que originen, como pueden ser los envíos de mensajes de publicidad no solicitada, mensajes de phishing o cualquier otro tipo de comportamiento malicioso. Entre las actividades hostiles, la más frecuente es el envío de spam.

Dado que es probable que una dirección IP implicada en un envío de spam lo vuelva a hacer, es habitual rechazar el correo procedente de direcciones con mala reputación.

Los sistemas tradicionales se limitan a una lista de direcciones clasificadas como “hostiles”. A estas listas se accede generalmente empleando el DNS como protocolo de consulta, por este motivo antes se llamaban DNSBL (DNS Black List). También se conocen como “listas negras”, ya que la inclusión de una dirección en estas listas implica que sus mensajes serán rechazados (o como mínimo, penalizados) en aquellos servidores que las consulten.

El sistema tradicional no está exento de problemas y en ocasiones dichas listas hacen más mal que bien. Hoy en día, el modelo denominado “listas de reputación” se basa en criterios más complejos como la proporción entre correo malicioso y correo “limpio” originado, y, en el caso de los grandes proveedores de sistemas anti-spam, en la agregación de datos procedentes de sus clientes por medio de múltiples fuentes.

Con la aparición de las soluciones “en caja” o appliances de correo electrónico, gran parte de los fabricantes incorporan una o varias de estas listas de reputación, no siempre de manera visible para el administrador del sistema anti-spam, lo que puede complicar enormemente la resolución de un problema. Se hace necesario diferenciar entre el producto “hardware”, el appliance de correo electrónico y la lista de reputación.

Por último, los grandes proveedores de correo electrónico (ESP) incorporan diversas soluciones, de una forma global a la hora de luchar contra el SPAM, donde se mezclan soluciones “hardware” con desarrollos a medida para luchar contra el correo basura y avisar a los emisores de éste.

El propósito de este documento es, por un lado, evaluar los sistemas de reputación desde el punto de vista del “cliente” (el servidor o servicio de correo electrónico que usa uno de estos sistemas), de forma que se justifique el uso de determinadas listas de reputación, así como recomendar la no utilización de otras listas de reputación, debido a que no cumplen unos requisitos mínimos.

Por otro lado, se pretende recopilar la información de contacto con los distintos proveedores de listas de reputación, así como los principales proveedores de correo electrónico para poder solucionar rápidamente los problemas ocasionados por la inclusión de una dirección IP en uno de esos sistemas.

Listas de Reputación

Clasificación

Existen varios tipos de listas de reputación. Si las clasificamos atendiendo a quién las puede consultar hablamos de listas privadas de uso exclusivo de una organización o empresa, otras de pago ofrecidas por las empresas de seguridad a sus clientes y, por último, listas que, en general, se pueden consultar libremente, y que son de lejos las más utilizadas. En este documento se analizan estas últimas, porque incluso aquellos que emplean listas privadas o de pago también suelen consultar las listas de reputación de uso público. Por este motivo el buen uso de esas listas - seleccionando aquellas que son fiables y evitando otras no recomendables- resulta de gran importancia para el correcto funcionamiento del correo electrónico en la Red.

TI1:Criterios de valoración

Las características que una lista de reputación debe tener para ser fiable, a partir de los datos aportados por los miembros del Foro ABUSES, son las siguientes:

  1. No debe pedir dinero u otros donativos para sacar una dirección IP de su lista negra. Esto daría lugar a un impuesto de protección y a la pérdida de confianza de una de las armas para luchar contra el SPAM.
  2. No debe de listar rangos completos de direcciones IP, sino direcciones IP individuales que envían SPAM o están infectadas por algún troyano, etc. (excepto listas DUL o PBL). De esta manera se evita que aquellas direcciones IP que envían correo legítimo se vean afectadas por la lista negra.
  3. Debe de tener mecanismos claros de salida una vez solucionado el problema que haya ocasionado su inclusión en la lista, ya sea de forma automática (recomendado) o manual.
  4. Debe tener una forma de contacto clara y rápida a la hora de poder dialogar con los administradores de la lista. Una dirección IP no debe estar listada más tiempo del necesario.
  5. Debe tener criterios de inclusión y exclusión, que deben ser públicos y bien definidos.
  6. Debe facilitar acceso a las evidencias que motivaron su inclusión en la lista.
  7. Debe disponer de mecanismos para notificar al responsable de la direcciones IP, la inclusión de direcciones IP en las listas de reputación (FBL , ARF, etc).

Listas de reputación habituales o más conocidas/utilizadas

● Barracuda Networks

○ URL información: http://www.barracudacentral.org/rbl

○ Tipo: consulta gratuita - descarga no disponible

○ URL exclusión: http://www.barracudacentral.org/rbl/removal-request

○ Envía FBL: no

○ Comentarios:

■ incluida también en sus sistemas de correo comerciales (Appliance)

■ es posible usarla (hacer consultas) desde el exterior, solicitando su uso

■ no se indica la posibilidad de descarga de su lista entera para su integración en una lista de reputación

● Spamhaus

○ URL información: http://www.spamhaus.org/

○ Tipo: consulta gratuita hasta cierto umbral, a partir del cual es comercial. Descarga de pago.

○ URL exclusión: http://www.spamhaus.org/lookup/

○ Envía FBL: no

○ FAQ: http://www.spamhaus.org/faq/

○ Comentarios:

■ dispone de diferentes tipos de listas o zonas: SBL, XBL, PBL, DBL, ZEN

● CBL (Composite Blocking List)

○ URL información: http://cbl.abuseat.org/

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://cbl.abuseat.org/lookup.cgi

○ Envía FBL: no

○ FAQ: http://cbl.abuseat.org/faq.html

○ Comentarios:

■ va incluida en la lista XBL de SpamHaus

● Spamcop

○ URL información: http://www.spamcop.net

○ Tipo: consulta gratuita - descarga no disponible

○ URL exclusión: http://www.spamcop.net/bl.shtml

○ Envía FBL: si

○ FAQ: http://www.spamcop.net/fom-serve/cache/1.html

○ Comentarios:

■ permiten a los usuarios reportar SPAM (registrándose en su sistema)

● Lashback

○ URL información: http://www.lashback.com/blacklist

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://www.lashback.com/blacklist

○ Envía FBL: no

○ Comentarios:

■ requiere confirmación (link) por email para completar deslistado

■ sólo lista IPs de emisores de correos cuyos destinatarios están dados de alta en listas de supresión (listas robinson y similares)

● PSBL (Passive Spam Block List)

○ URL información: http://psbl.org/

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://psbl.org/remove

○ Envía FBL: no

○ FAQ: http://psbl.org/faq/

○ Comentarios:

■ antes conocida también como RBL de Surriel

■ utiliza el software Spamikaze (http://spamikaze.org/)

● Trendmicro

○ URL información: http://www.trendmicro.es/productos/hosted-email-security/index.html

○ Tipo: comercial

○ URL exclusión: https://ers.trendmicro.com/reputations

○ Envía FBL: ns/nc

○ Comentarios:

■ lista restrictiva, la primera exclusión es sencilla, en posteriores solicitudes ya no es tan fácil que excluyan una IP reincidente.

● SORBS

○ URL información: http://www.sorbs.net/

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://www.sorbs.net/cgi-bin/support

○ Envía FBL: si, pero sólo a ISPs registrados en su herramienta

○ FAQ: http://www.sorbs.net/information/faq/

○ Comentarios:

■ management interfaces: http://www.us.sorbs.net/managers/

● Commtouch

○ URL información: http://www.commtouch.com/sp-anti-spam/

○ Tipo: comercial: consulta de pago – descarga no disponible.

○ URL exclusión: http://www.commtouch.com/check-ip-reputation/

○ Envía FBL: no

○ Comentarios:

■ el sistema se basa en análisis de firmas de mensajes y también emplea mecanismos de listas grises

● UCEPROTECT

○ URL información: http://www.uceprotect.net/en/index.php

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://www.uceprotect.net/en/rblcheck.php

○ Envía FBL: no

○ FAQ: http://www.uceprotect.net/en/index.php?m=2&s=0

○ Comentarios:

■ solicitan dinero para deslistar IPs

■ dan de alta rangos IP e incluso ASN completos en su lista negra


Evaluación de listas de reputación

Table de resultados

P1

P2

P3

P4

P5

P6

P7

Media

Barracuda

7.93

8

7.67

6.4

5.07

4.31

4.2

6.23

CBL

8.33

853

7.87

7.6

7.27

6.29

3.09

6.83

Comtouch

10

10

7.67

4

2.67

1.83

1.75

5.42

lashback

10

10

8

5.6

6.4

2.6

2.5

6.44

PSBL

9.11

7.11

8.3

6.67

6.33

8.33

4.67

7.22

SORBS

6.25

6.38

5.69

5.38

6.06

5.59

4.36

5.69

Spamcop

8.94

8.81

8.25

6.69

8.06

8.4

8.62

8.25

Spamhaus

9.12

7.76

8.71

7.12

8.12

7.06

7.21

7.87

TrendMicro

8.92

7.64

5.67

5.92

6

6

4.8

6.42

UCE protect

1

1

1.9

1

2.9

2.22

1.13

1.59

Clave de colores

No es muy conocida, pocas respuestas, no se evalúa

No se recomienda su uso

Puede dar algunos problemas, uso incierto

Pocos problemas, se puede utilizar con cautela

No hay problemas, uso recomendado


Otros sistemas y listas de reputación

Listas blancas

El uso indiscriminado de listas de reputación puede, en ocasiones, provocar un problema mayor del daño que previenen. Esto es especialmente importante entre proveedores, digamos, "próximos", entendiéndose como próximos los que estén situados en el mismo país.

Supongamos, por ejemplo, que un proveedor español tiene un problema y se envía spam a través de sus servidores. En general, al menos así suele ser, el envío irá dirigido de manera indiscriminada a países de todo el mundo. Si un proveedor indonesio rechaza su correo, el daño no será muy grande. Sin embargo, si otro proveedor español también lo rechaza es muy posible que el efecto sea mucho peor que el del envío de spam en sí mismo.

Para evitar este problema, se han creado las denominadas listas blancas. Su funcionamiento se basa en una relación de confianza. Cada miembro de la lista asume el compromiso de atajar los incidentes de spam con una diligencia razonable. De ese modo, los vecinos que la emplean aceptarán aplicar medidas de filtraje reducidas (o ninguna en absoluto) evitando con ello el bloqueo de correo legítimo.

El sistema ofrece muchas más ventajas que desventajas. El spam llega desde orígenes muy diversos y numerosos, y dar paso franco a unos pocos, sabiendo además que los incidentes no se prorrogarán demasiado, evita la mayor parte del daño colateral de los filtros. El spam recibido y aceptado siempre será un pequeño porcentaje del total.

● ESWL/MTAWL

○ URL información: http://www.abuses.es/eswl

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://www.abuses.es/eswl

○ Envía FBL: si, pero sólo para IPs registradas

○ Comentarios:

■ lista de direcciones del Foro Abuses

■ dos niveles: servidores de correos de ISP españoles (ESWL) y servidores de correo registrados (MTAWL)

■ diversos formatos de descarga

● DNSWL

○ URL información : http://www.dnswl.org/

○ Tipo: consulta y descarga gratuita

○ URL exclusión: http://www.dsnwl.org/

○ Envía FBL: no

○ Comentarios: Una de las primeras listas blancas que se crearon, diversos formatos de descarga.

Reputación en Proveedores de Correo Electrónico (ESPs)

● Microsoft (Hotmail, Live, MSN, Outlook,...)

○ Políticas generales: http://postmaster.live.com

○ Códigos de error SMTP: http://mail.live.com/mail/troubleshooting.aspx#errors

○ Soluciones para ISPs (SNDS, JMRP…): http://mail.live.com/mail/services.aspx

○ Formulario soporte para abrir ticket:: https://support.msn.com/eform.aspx?productKey=edfsmsbl2&ct=eformts

○ Comentarios:

■ la información que facilitan en SNDS no está actualizada en tiempo real

■ el tiempo de respuesta ante incidencias de problemas en la entrega de mensajes de correo es de 2 a 3 días, lo que no es suficiente para la mayoría de los casos (clientes y usuarios se quejan constantemente porque sus mensajes de correo no llegan a destinatarios de Microsoft)

● Google Mail (GMail gratuito y GMail de pago)

○ Políticas generales: http://support.google.com/a/bin/answer.py?hl=es&answer=178266&topic=28609&ctx=topic

○ Formulario de soporte para abrir tickets: http://support.google.com/a/bin/request.py

○ Comentarios:

■ solo disponen de un foro en donde responden dudas y problemas tanto a usuarios como a postmasters

■ pseudo-FBL: http://blog.returnpath.com/blog/joanna-roberts/3-steps-to-qualify-for-gmails-feedback-loop

● Yahoo

○ Políticas generales: http://postmaster.yahoo.com

○ Soluciones para ISPs (FBL): http://feedbackloop.yahoo.net

○ Formulario de soporte para abrir ticket: http://help.yahoo.com/l/us/yahoo/mail/postmaster/cfl_app.html (Elegir Product “Mail” y Category “Postmaster”)

○ Comentarios:

■ redirigen constantemente a cumplir sus políticas de envío para boletines o listas de distribución sin atender a otras razones como causas de envíos de mensajes no solicitados, que pueden ser la infección de un puesto de trabajo (y consecuente robo de credenciales de correo) o página web (robo de FTP, inyecciones de código...)

● AOL

○ Políticas generales: http://postmaster.aol.com

○ Códigos de error SMTP: http://postmaster.aol.com/Postmaster.Errors.php

○ Soluciones para ISPs (FBL): http://postmaster.aol.com/Postmaster.FeedbackLoop.php

○ Formulario soporte para abrir ticket: http://postmaster.aol.com/SupportRequest.php

○ Comentarios:

■ envían mucha información a buzones de abuse, información interesante para encontrar filtradas IPs de servidores de correo propios, en formato ARF

● Telefónica/Movistar (Telefonica.net, Terra, Servicios de correo a empresas)

○ Formulario soporte para abrir ticket: http://www.movistar.es/nemesys

○ Comentarios:

■ Nemesys envía avisos al contacto abuse@ cuando existe un alto número de destinatarios inválidos

Webs para comprobar reputación en diferentes listas (Apéndice)

http://multirbl.valli.org/lookup

http://www.mxtoolbox.com/

http://rosinstrument.com/cgi-bin/blqw.pl

http://www.dnsbl.info/dnsbl-database-check.php

Otros temas

Reflexiones de futuro

La evolución de Internet a IPv6 presenta varios retos a nivel de las listas de reputación. Por un lado, el aumento del direccinamiento asignado a los usuarios finales en IPv6 (algunas recomendaciones indican el uso de 2^64 direcciones IP distintas a nivel de enlace), que junto con los mecanismos de asignación automática y aleatorización de direcciones pueden hacer impracticables las listas de reputación de direcciones finales. Como alternativa se puede pensar en listas de reputación de rangos IP y el uso de DNS wilcard.

Por otro lado, en este periodo de transición se observa con preocupación el efecto que CGNAT puede ocasionar a la hora de establecer la reputación de una dirección IPv4 pública que puede estar siendo usada simultáneamente por diversos clientes.

Glosario de términos

CGNAT: Carrier Grade NAT: Mecanismo para compartir una misma dirección IPv4 pública entre varios clientes de un operador, de forma que todos ellos puedan salir a Internet.

DNS wildcard: Empleo de registros genéricos en DNS para que cualquier consulta a partir de que determinada entrada de DNS sea respondida con el mismo valor. Por ejemplo (* buscar uno que no sea JASH.esgay.com *)

DUL : dinamic User List: lista de reputación que indica si una dirección IP pertenece a un proveedor de Internet que la asigna de forma dinámica a los usuarios domésticos. Dado que un usuario final no debería enviar correo como si fuera un servidor, este tipo de listas se emplean para bloquear el envío de correo desde equipos de usuarios finales que suelen estar infectados por algún malware y están enviando spam.

PBL: Policy Block List, lista en donde se publican los direccionamientos dinámicos de los proveedores de Internet. Estar dado de alta en esta lista no quiere decir que estas IPs envíen correo no legítimo, sino que NO se debería de aceptar correo de éstas al ser rangos dinámicos para servicios no relacionados con el envío/recepción de correo electrónico.

FBL: Feedback Loop o Complaint Feedback Loop es un sistema para que los proveedores puedan recibir los reportes de mensajes de publicidad originados desde alguna dirección IP de su red.

Revisiones

Este documento ha sido redactado y revisado por los miembros del Foro Abuses y bajo su experiencia con sus propios sistemas de correo electrónico y la de sus clientes de direccionamiento fijo en donde tengan alojado un servidor de correo propio.

El foro abuses realizará revisiones periódicas de este documento, en las cuales se volverán a evaluar las distintas listas de reputación existentes en base a los criterios P1-P7, así como incluyendo y eliminado aquellas listas de reputación que los ISPs miembros del foro consideren más apropiadas.

Revisiones realizadas por orden cronológico:

  1. Octubre - 2008
  2. Marzo - 2013