La guerra entre generadores de correo electrónico no deseado y generadores de software que lo controle continua.. y cada vez se inventan nuevas maneras de burlar sistemas de seguridad, sin embargo es claro que cada vez resulta mas costoso hacer SPAM.. hay varias tecnologías para controlarlo, unas muy clásicas pero aun funcionales y otras muy innovadoras, a pesar de eso en todos los casos existen excepciones a la regla y es allí donde aparecen falsos positivos y falsos negativos, dentro de las opciones mas conocidas para controlar el SPAM están las listas negras y las listas blancas, las reglas de filtrado por keywords ubicados en el remitente, el destinatario, el asunto, un adjunto o el cuerpo del mensaje, también se suelen bloquear ciertos tipos de contenido , como por ejemplo ejecutables, dll´s, scripts etc, también se usan Honey Pots o Spam Traps que son cuentas muy comunes ejm. info@sudominio.com y a las cuales suelen llegar grandes cantidades de SPAM, asi que de allí se pueden sacar fácilmente correos para meter en lista negra, anterior suele estar presente en la mayoría de los servidores de correo actuales, pero el tema va mucho mas allá, como por ejemplo la consulta de listas negras publicas que de alguna manera nos brindan información sobre la reputación de una IP o una red y sobre eso podemos filtrar estos correos, al ser algo que no controlamos totalmente, podemos incurrir fácilmente en falsos
positivos asi que debemos monitorear permanentemente logs para asegurarnos de que el correo este pasando, hay tecnologías un poco mas nuevas como listas grises y tarpiting que en resumen lo que suelen hacer es rechazar el correo una vez y a la siguiente dejarlo pasar, asi desalientan al generador de SPAM y lo hacen pensar que ya esta bloqueado, pero asi mismo si es un correo valido y confiable comúnmente es reenviado automáticamente por el servidor después de un corto tiempo, o inclusive manualmente por el usuario, también pueden funcionar simplemente reteniendo unos minutos el correo (comúnmente 10) para de igual manera desalentar al spammer, esas son medidas opcionales y algo controversiales, otra buena técnica es utilizar aprendizaje bayesiano que es una tecnología muy aceptada en la cual el usuario al clasificar el correo electrónico como SPAM o enviarlo a una carpeta especifica le “enseña” al servidor que esta catalogado como SPAM y que no, también existen motores heurísticos que hacen un análisis mas profundo del correo entrante y manejan umbrales personalizables que nos permiten seleccionar en que momento un correo pasa a ser SPAM, por ejemplo cuando llegue a X puntuación, esta puntuación esta definida por ciertas características del correo, por ejemplo cierto porcentaje de HTML en el mensaje, o de colores, o de tipo de letras, o de caracteres especiales o cantidad de veces que llega un correo de una fuente en un tiempo definido etc, cada una de estas características dan puntos negativos o positivos y al superarse el umbral de puntos se cataloga el correo electrónico como SPAM, una forma de asegurar el envío de correo es firmándolo digitalmente y es una buena practica también exigir que el dominio del remitente tenga registros MX, A, PTR y SPF válidos, de lo cual hablaremos un poco más a continuación, no sin antes mencionar algunas de las casas mas conocidas en cuanto a herramientas para control de SPAM, entre otras tenemos a:
- Microsoft
- McAffe
- Symantec
- CISCO
- Computer Associates
- Alt-n
- ISS
- TrendMicro
Para evitar ingresar a listas negras se deben poner en práctica varias cosas, es de gran importancia que su configuración de DNS este bien, asi que verifiquen que tengan creado al menos un registro MX (deseable 2 con lo que eso implica), registros NS, un registro PTR valido,un registro SPF y un SOA bien configurado, la existencia de estos registros y las mejores practicas de su configuración las pueden verificar de manera gratuita en esta pagina: http://www.intodns.com, recuerden que el registro PTR es el que me permite consultar una dirección IP y me devuelve un nombre de dominio, asi mismo deben solicitar a su ISP y/o a su administrador de DNS público que cree el registro de tal manera que al consultar la dirección IP a través de la cual ustedes envían correo, se devuelva el FQDN del MX mediante el cual ustedes envían correo. ejm. Si el registro MX de su empresa es mail.sudominio.com y responde a la IP 200.200.200.200 al hacer una consulta inversa a la IP 200.200.200.200 les debe devolver como resultado mail.sudominio.com (esto lo deben hacer con todas sus IP en caso de manejar varios servidores de correo y varios MX), para verificarlo por comandos, basta con hacer un NSLOOKUP, como se ve a continuación:
---------------------------------------------------------------------------------------------------------------------------------------
C:\Users\Germán\nslookup
Servidor predeterminado: Static-IP-1901572140.cable.net.co
Address: 190.157.2.140
> set type=PTR
> 190.26.93.74 Servidor: Static-IP-1901572140.cable.net.co
Address: 190.157.2.140
Respuesta no autoritativa:
74.93.26.190.in-addr.arpa name = mail.sudominio.com
93.26.190.in-addr.arpa nameserver = ns1-auth.etb.net.co
93.26.190.in-addr.arpa nameserver = ns2-auth.etb.net.co
ns1-auth.etb.net.co internet address = 200.69.125.10
ns2-auth.etb.net.co internet address = 201.244.1.170
---------------------------------------------------------------------------------------------------------------------------------------
Si les aparece timeout puede que tengan problemas de conectividad vs el servidor DNS que están consultando, en Windows el tiempo de espera por defecto para estas consultas es de 2 segundos, lo pueden elevar a 10 con el comando set timeout=10 después de eso pueden volver a probar, si les aparece que la IP Apunta a algo asi como.
78.93.26.190.in-addr.arpa name = corporat190-2693078.sta.etb.net.co
Es por que no tienen correctamente configurado su registro PTR (que casi siempre es asi) en este caso deben solicitar la modificación lo antes posible a su ISP, con respecto al registro SPF (Sender Policía Framework) es de suma importancia tenerlo hoy en día ya que mejora la reputación de nuestro dominio, lo pueden generar fácilmente y de forma gratuita en la siguiente página: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ una vez generado basta con que creen un registro TXT en su DNS público que sea spf.sudominio.com y copien el resultado del registro generado en el wizard de la pagina que les di anteriormente, para verificarlo por comandos, basta con hacer un NSLOOKUP, como se ve a continuación:
---------------------------------------------------------------------------------------------------------------------------------------
C:\Users\Germán\nslookup
Servidor predeterminado: Static-IP-1901572140.cable.net.co
Address: 190.157.2.140
> set type=TXT > sudominio.com
Servidor: Static-IP-1901572140.cable.net.co
Address: 190.157.2.140
Respuesta no autoritativa:
sudominio.com text =
"v=spf1 a mx mx:mail.sudominio.com ~all"
sudominio.com nameserver = ns1.sudominio.com
sudominio.com nameserver = ns2.sudominio.com
---------------------------------------------------------------------------------------------------------------------------------------
También recuerden hacer un hardening de su servidor de correo y del firewall, en especial en cuanto a mail relay pueden verificar si cumplen con esto en la siguiente pagina: http://www.abuse.net/relay.html asi pueden revisar si son un Open Relay (Pilas si tienen servidores Proxy o DNS publicados también háganles hardening por que si no es asi los pueden reportar por ser Open DNS u Open Proxy) asegúrense de solo dar permiso de salida SMTP hacia internet desde su servidor de correo y que en el mismo solo le hagan relay a los dominios de su confianza, también asegúrense de que servidor de correo tenga un buen
antivirus, los virus que envían correos masivos con código malicioso son muy comunes y asi su servidor de correo este asegurado si en un equipo cliente llega a correr uno de estos virus,fácilmente puede enviar hasta 10000 correos en 1 hora, con lo cual serian reportados en listas negras muy rápidamente, por lo mismo asegúrense de permitir salida vía SMTP solo a su servidor de correo y también hacer un análisis de la cantidad normal de correos que envían por hora y configurar su IPS para hacer mitigación de ataques flood que superen esa cantidad de correos, también es de suma importancia que si requieren enviar correos masivos no lo hagan desde su compañía sino que contraten empresas que brinden servicios especializados de esta índole, un ejemplo seria: http://www.marketingxemail.net/ Desafortunadamente así cumplan con todo lo anterior es posible que resulten en listas negras, la culpa no seria directamente de ustedes, sino de su ISP, ya que las redes como tal también son reportadas y si un porcentaje de IP´s dentro de la red a la cual ustedes pertenecen están reportadas, la reputación en general de la red seria muy mala y podrían unilateralmente tomar la decisión de reportar todo el segmento, pueden verificar la reputación de su IP y de la red a la cual pertenecen en esta pagina: http://www.senderbase.org/
Por otro lado, y como bien lo saben hay varias listas negras publicas, para verificar rápidamente si su IP esta reportada en una de ellas, pueden ingresar de forma gratuita a la siguiente página: http://www.dnsbl.info/ eso si en esa pagina no podrán delistarse, únicamente consultar, ya deberán ir a cada pagina en la que estén reportados y correr el proceso de remoción, en algunos casos en cuestión de una hora los delistan tan solo con llenar un formulario, en otros casos pueden tardar 48 horas, en otros una semana y en otros mucho mas tiempo, de hecho eso se volvió un negocio para algunas empresas de estas ya que cobran grandes cantidades de dinero para sacarlo a uno de su lista negra de manera inmediata “express delisting”, no estoy para nada de acuerdo con lo que hacen estos oportunistas, ya que por si fuera poco comienzan a reportar la IP del dominio en otras listas de mayor reconocimiento lo cual impacta bastante a las compañías, en estos casos mi recomendación es que si llegan a caer en una de esas listas que exigen dinero, mejor le soliciten a su ISP el cambio de IP, lo cual les puede implicar cambios de configuración en sus firewall, IDS, IPS, y servidores DNS públicos, es importante hacer estos cambios los días viernes en la tarde para minimizar el impacto en la compañía. Con lo anterior se ha generado un fenómeno que afecta mucho a las empresas y es que los ISP en muchas ocasiones nos cambian la IP actual o nos dan una nueva que esta aun más reportada en listas negras, asi que es de suma importancia que antes de aceptar el cambio o al nueva dirección IP que les vayan a asignar sus ISP´s que verifiquen la IP muy bien y asi evitar recibir una IP con problemas anteriores.
Si tienen en cuenta mis recomendaciones seguramente minimizaran sus problemas de SPAM y listas negras vs la mayoría de los dominios, sin embargo hay unos dominios de Microsoft, sumamente conocidos y en los cuales si llegan a ser reportados deberán seguir un procedimiento “especial” estos dominios suelen ser live.com, msn.com y hotmail.com, para evitar ser listados vs estos dominios deberán en primera instancia ingresar al programa de Microsoft Sender ID para poderlo hacer deberán tener entre otras cosas correctamente configurado su registro SPF, aquí podrán llenar el formulario de inscripción:
https://support.msn.com/eform.aspx?productKey=senderid&ct=eformts, posteriormente les sugiero ingresar a Smart Network Data Services que es una pagina mediante la cual podrán administrar varias direcciones IP y consultar día a día si están enviando correo masivo a estos dominios y cuantos de esos correos están siendo catalogados como no deseados, para ingresar a este programa les sugiero pertenecer previamente el programa de Sender ID, tener un registro PTR correctamente creado y tener los las cuentas abuse@sudominio.com y postmaster@sudominio.com creadas en su servidor de correo (estas cuentas es bueno tenerlas creadas en todos los casos como mejor practica) la pagina de ingreso es la siguiente: https://postmaster.live.com/snds/addnetwork.aspx , ya con esto es importante que puedan ingresar al Junk Mail Reporting Partner Program de Microsoft, en el cual se establece un acuerdo mediante el cual Microsoft confía en su dominio, eso no garantiza 100% que no sean vetados en estos servidores, pero si cumplen con las reglas que se tienen sin duda lo evitaran, para poder ingresar a este programa requieren tener todo lo anterior y adicionalmente deberán incluir en el home de la pagina web de su empresa la política de privacidad en la cual se mencionen las cuentas a las cuales se puede solicitar ser sacado de la lista de envió de correos entre otras cosas, una buena guía para crear esta política de privacidad de manera gratuita la encontrarán en esta página: http://www.dmaresponsibility.org/PPG/, con esto ya podrán llenar el formulario de inscripción al programa, lo cual o pueden hacer en la siguiente página: https://support.msn.com/eform.aspx?productKey=edfsjmrpp&page=support_home_options_form_byemail&ct=eformts por último requerirán que su ISP envié un correo a Microsoft confirmando que ustedes tienen derechos exclusivos para el envío de correo a través de su IP pública, con lo anterior Microsoft los contactara y les solicitara alguna información pertinente para posteriormente hacerles firmar el acuerdo de ingreso al programa electrónicamente.Con lo anterior evitarán ser reportados, pero si ya lo están y no pueden enviar correos a esos dominios es necesario que hagan todo lo anterior ( o al menos el tema de SenderID y de SNDS) y soliciten el delist en la siguiente pagina: https://support.msn.com/eform.aspx?productKey=edfsmsbl&ct=eformts si son sacados de listas y después reinciden, prácticamente la única forma de poder volver a enviar correos a estos dominios será ingresando al Junk Mail Reporting Partner Program.
Espero haber aportado un granito de arena con este post a quienes tengan inconvenientes con esto. Hasta pronto!!!
4 comentarios:
Muchas gracias German, me ha sido de mucha utilidad esta publicacion.
Cordiales saludos.
Vladimir S.
Enhorabuena por el artículo, ha sido de mucha utilidad.
Muchas gracias buen aporte
El PTR me corresponde hacerlo a mi? o a mi proveedor de internet?
Publicar un comentario