Notas del Mundo Real 2.0

Notas de un SysAdmin que terminó siendo MVP

Antispam: Cómo Habilitar el Filtrado de Conexión usando Listas Negras en Nuestro Servidor Exchange 2003? Parte 1

 

NOTA:

Este post fue publicado originalmente en mi anterior blog el
24/08/2007. 
Hice algunos cambios, modificaciones y adiciones para actualizar y mejorar el artículo

 

Hoy recibí el llamado de un amigo preguntándome cuales proveedores de listas negras yo uso.

Update: Hace un par de días, a través de las Comunides Técnicas MS en Chile recibí una solicitud para actualizar este artículo y escribir su segunda parte :)

Una de las opciones de filtrado de mensajes por conexión que nos ofrece Exchange 2003 (y versiones superiores) es el uso de RBL's. (En Exchange 2000 había que usar productos de terceros o add-ons para poder usarlas).

Desde el punto de vista del administrador de un servidor de correo, las listas negras pueden ser un gran aliado, o un gran dolor de cabeza si caes en una :(.

Nota: al final de este artículo hay un pequeño procedimiento para salir de ellas


Veamos Por Qué.

1. Qué son las listas negras?

Para quienes no lo sepan, las listas negras (Black List), o RBL's por Real Time Block/Black List, son Bases de Datos que contienen listados de direcciones IP's pertenecientes a servidores de correo que han sido detectadas o reportadas como Open Relay, o que envían Spam.

2. Cómo Funciona el uso del filtrado de conexión usando listas negras?

Cada vez que llega una conexión SMTP a nuestro servidor, éste realiza una consulta de DNS reverso a su proveedor de lista negra, preguntando por la dirección IP del servidor de correo que está tratando de entregarnos un mensaje.

Por ejemplo, si el servidor que está estableciendo conexión a nuestro servidor de correo tiene una dirección 192.168.8.2, y nuestro proveedor de listas negras es odioelspam.org, entonces nuestro servidor Exchange hará una consulta de DNS Reverso de la forma: 2.8.168.192.odioelspam.org.

Nuestro proveedor de listas negras nos dará una respuesta, la cual podría ser:

  • "Host Not Found": indicando que la IP del servidor que nos está tratando de enviar un correo NO ESTÁ en su base de datos.
  • "127.0.0.Código": El proveedor no está indicando que la dirección IP del servidor que nos está tratando de enviar un correo SI ESTÁ en la Base de Datos. El "Código" que viene en la respuesta varía de proveedor en proveedor, no hay un estándar, pero generalmente indica el tipo de "abuso" con que se ha registrado la dirección IP en la lista negra (spam, masivo, open relay, etc). Consulte la documentación de su proveedor ;)

Si la dirección IP del Servidor que nos está tratando de enviar correo está en la lista negra, entonces nuestro servidor Virtual SMTP entregará un código de error 550 5.x.x como respuesta al comando RCPT TO.

Personalmente recomiendo utilizar más de un proveedor de Listas negras. Se puede establecer el orden en el que serán consultados.

NOTAS IMPORTANTES:

  1. Puesto que este es un filtrado de conexión, el mail no es recibido, por lo que no se (mal)gastan recursos de red ni de máquina (procesando por virus o spam en otros niveles).
  2. Este filtrado aplica sólo a nivel de Servidor Virtual SMTP, es decir, no sirve para mails internos enviados por MAPI (Outlook), OWA, RPC sobre HTTPs, etc.
  3. Esta técnica es bastante efectiva, pues cuando recibimos mails de un servidor que envía spam, generalmente nos trata de enviar MUCHOS mensajes en la misma conexión (tratando de hacer un ataque de Directory Harvest), por lo que me basta con sólo una consulta al proveedor de RBL's para bloquear MUCHOS mensajes que provengan de la misma dirección IP.

3. Cuánto Cuestan?

Hay proveedores de Listas Negras pagados, pero también hay proveedores gratuitos, como SpamCop.Net y SpamHaus.org.

La principal diferencia entre un servicio gratuito y uno pagado radica en la velocidad con la cual se actualizan las bases de datos y en la posibilidad de poder descargar una réplica local de la Base de datos (zona DNS Reversa) del proveedor, con lo cual puedes acelerar mucho el tiempo de respuesta a las consultas.

4 . OK. Se ven Bien, pero, Aplican a la Realidad Latinoamericana?

Esta es una pregunta que yo me estuve haciendo mucho tiempo, y la respuesta es... Claro que Si!!

Update: últimamente ya aparecen países de América latina en la lista de  las principales fuentes de spam en el mundo , y mucho del spam que se genera llega a “nuestros” servidores.

Cuánto es mucho?
Para motivarlos un poco más a que utilicen el filtrado de conexión basado en listas negras, les muestro las estadísticas (reales), sacadas mientras escribo este artículo, desde un servidor en producción configurado con los 2 proveedores gratuitos ya mencionados:

perfmon_RBL

  • Consultas DNS Realizadas Block List: 30.510
  • Conexiones Rechazadas debido a Reglas de Block List: 18.549

El 60% de las conexiones que se tratan de establecer con este servidor Exchange son rechazadas debido a que las IP's están en listas negras!!!

5. Bonus: Yo soy Administrador de un servidor de correo y creo estar en una lista negra. Qué Hago?

El procedimiento para salir de una lista negra es bastante simple:

  1. Primero: debe saber en cuáles listas estás metido, y por qué.  Puedes revisar al final de éste artículo, la sección correspondiente a las listas negras y cómo saber en cuales estás ;)
  2. Segundo: debes resolver tu problema (generalmente debido a opciones de relay mal configurado o de equipos en tu red, posiblemente infectados con virus, que están enviado spam).
  3. Tercero: debes comunicarte con el administrador de las listas negras en donde estabas metido, para contarles (generalmente mediante un formulario de contacto) que ya solucionaste tu problema y que te quite de la lista.
  4. Esperar... a que seas removido de la lista.

 

Espero haber podido explicar qué son, como funcionan y los beneficios de usar filtrado de conexión basados en Listas Negras (RBLs). En un próximo artículo, les muestro cómo y dónde se configuran estas opciones en Exchange Server 2003

Update: y en Exchange 2007 y 2010!

Gonzalo

Posted: 7/9/2010 13:07 por gbr | con 1 comment(s)
Comparte este post:

Comentarios

Gonzalo Balladarez ha opinado:

NOTA: Este post fue publicado originalmente en mi anterior blog el 24/08/2007. Hice algunos cambios,

# September 20, 2010 7:36 AM