Spam Falsos positivos


Es posible que en estos días, muchos administradores de sitios web o de redes corporativas, reciban quejas de que sus correos son catalogados de Spam o sencillamente son devueltos. Conozco a más de un IT que ha pasado horas tratando de resolver el problema. Peor aún, algunos usuarios ni siquiera se han percatado del mismo, y tal vez pierdan algún negocio importante, porque el mensaje que enviaron nunca llegará a destino.





Todo se debe a que ORDB.ORG, un conocido servidor de listas negras con direcciones de spam "RBL", ha empezado a rechazar todas las direcciones IP. Dicho de otra manera, cualquier servidor de correo que utilice como filtro de spam el listado de ORDB.ORG, va a bloquear todos los correos, sean spam o no.

RBL (acrónimo de Realtime Black List), es el nombre de las bases de datos que contienen nombres de dominio y direcciones IP que realizan envíos de mensajes de correo no solicitados por los destinatarios, o sea spam. Este tipo de listas es consultada por muchos proveedores de acceso a Internet, con el fin de bloquear los envíos procedentes de ciertos dominios.

ORDB.ORG, es (era) un conocido sitio ubicado en Dinamarca, que se mantenía con el esfuerzo desinteresado de muchos voluntarios, y que luego de cinco años de actividad, decidió cerrar, por diversos motivos. El problema es que aunque ORDB.ORG está inactivo desde diciembre de 2006, aún hoy (marzo de 2008), muchos sitios y administradores siguen utilizando sus listas RBL para filtrar el spam.

Hasta el momento, esa acción era simplemente inocua. Las consultas a sus listas negras no devolvían resultados relevantes, de tal modo que las mismas podrían considerarse una simple "pérdida de tiempo".

Sin embargo, el pasado 25 de marzo (2008), el sitio comenzó a devolver todas las consultas con la identificación de spam, aún cuando no lo fueran. Un típico caso de "falsos positivos", aparentemente realizado de manera premeditada,"como una manera de despertar a los usuarios y administradores, y obligarlos a que quiten ORDB.ORG de sus filtros de referencia." Al menos eso es lo que dicen algunos.

Una de las razones por las que ORDB.ORG dejó de funcionar, es que se basaba principalmente en la detección de sitios que permitían ataques del tipo Open Relay.

Esto significa que se utiliza un servidor diferente como "puente" entre el emisor del correo (spammer) y el del destinatario (usuario), de tal modo que aunque la IP o
dominio del emisor esté bloqueada, el correo debería llegar a destino porque no sería identificado por el destinatario.

En forma genérica se les denomina Open Relay a todos los servidores que permiten el envío de correo desde otros dominios a través de ellos.

Actualmente, se considera que bloquear los sitios que permiten ser usados como "puentes" u Open Relay, no es una manera eficaz de prevenir la entrada de spam. La red y las tácticas de los spammers han cambiado lo suficiente en los últimos años, como para eludir este tipo de protección.

Volviendo al tema del bloqueo, una cosa es que un filtro de spam cometa un error o incluso sea negligente y ponga un mensaje bueno en la carpeta de correo no deseado, pero otra muy distinta es que un filtro de forma intencionada impida que mensajes legítimos puedan llegar a la bandeja de entrada de los usuarios.

Esto podría ser especialmente grave en aquellas situaciones en las que las consultas a filtros como el de ORDB.ORG, sea solo una parte del proceso global para categorizar el spam. En esos casos, muchas personas estarían recibiendo algunos mensajes, pero perdiendo otros, lo que hace menos probable que el error sea notado de inmediato al no existir un bloqueo total del correo electrónico.

Aunque es poco probable que usted se entere de que le han enviado un mensaje que nunca leerá (y eso podría significar perdida de tiempo o hasta de dinero), tal vez tenga una chance de saber si su cuenta de correo habitual es bloqueada porque su proveedor de correo utiliza las listas de ORDB.ORG. Por ejemplo, si tiene un correo de otro proveedor, reenvíese un mensaje a la dirección de la que sospecha.

Si no recibe el mensaje, o el servidor desde donde envió el mismo le reenvía su propio correo con un texto como:

"A message that you sent could not be delivered to one or more of its recipients. This is a permanent error.", etc.

Y además se pueda leer algo como "OPEN PROXY SERVER [la dirección del servidor] - see http://ordb.org/", seguro que su proveedor de correo sigue utilizando ORDB.ORG, y por lo tanto, muchos correos no están llegando a su bandeja de entrada.

En ese caso, póngase en contacto de inmediato con su proveedor para comentarle este tema.

Finalmente, queda reflexionar si la actitud de ORDB.ORG no podría ser considerada hasta criminal, si es que el bloqueo fue intencional. Estoy seguro que en mucho países incluso hay leyes al respecto que en ese caso deberían aplicarse.

Y si nos preguntamos que tan buena idea puede ser confiar en sitios que realizan listas negras para bloquear el spam, debemos recordar que se trata de una guerra. Y como en toda guerra, la batalla contra el correo no deseado siempre va a producir "daños colaterales". Y sin dudas, casos como el de ORDB.ORG, debería ser tomado como una irresponsable excepción, sea o no una acción premeditada.


* Relacionados

ORDB.org blacklisting all IP addresses
http://isc.sans.org/diary.html?storyid=4198

Fuente:
Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy
Titulo original: "No recibo correo, o me sale un mensaje de rechazo"
http://www.vsantivirus.com



Otras noticias de interés:

Virus Recientes
Tres gusanos -Lovgate.A, W32/Tang y Kingpdt-, y dos troyanos -Nzlog y Aileen- centran la atención del presente informe sobre códigos maliciosos. ...
Klez.I: diez meses liderando infecciones
En febrero la variante I del gusano Klez ha sido el código malicioso que ha afectado al mayor número de equipos....
Vulnerabilidad en protocolo FTP de Opera (PASV)
Una vulnerabilidad en el protocolo FTP ha sido reportada en Opera, el conocido navegador de Internet. La misma puede ser explotada por un atacante para obtener información confidencial del equipo en que se ejecuta....
Black Hat: Inseguridad en cajeros basados en Windows CE
Hacker demuestra la notable inseguridad de algunos cajeros basados en Windows CE....
Piénsa bien antes de usar Facebook
Investigadores de seguridad de Kaspersky Lab publican una nueva advertencia de seguridad para usuarios de Facebook y del navegador de Google....
La controversia de Palladium de Microsoft y el TCPA.
Últimamente se ha creado al entorno de esta tecnología un gran revuelo. Este artículo explica de una forma sencilla y clara. La nota original es de: Wi...
Robo de usuario y contraseña en Firefox 2.0
Se ha reportado una vulnerabilidad en el navegador Firefox, la cuál puede ser explotada maliciosamente para llevar adelante ataques de phishing....
VPN o Redes Privadas Virtuales (Parte I)
Hace unos años no era tan importante conectarse a Internet por motivos laborables, pero a medida que ha pasado el tiempo las corporaciones han requerido que las redes de área local (Local Area Network, LAN) trasciendan más allá del ámbito local ...
COMO HACER PREGUNTAS DE MANERA INTELIGENTE EN UN SITIO DE HACKERS
Interesante artículo presentado en nuestra Web Amiga Infohackers.org , en la cual se explica de una forma detallada la forma correcta de preguntar dentro de un foro - lista - grupo - canal Hack underground. ...
VMware entra en el núcleo de Linux
La próxima revisión del núcleo de Linux incluirá una característica de virtualización desarrollada por VMware denominada VMI (interfaz de máquina virtual)....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • falsos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • positivos
  • sabayon
  • seguridad
  • spam
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra