Lista de bloqueo del sistema de nombres de dominio

Método para bloquear el host por correo no deseado

Una lista negra del Sistema de nombres de dominio , una lista negra basada en el Sistema de nombres de dominio , una lista negra del Sistema de nombres de dominio ( DNSBL ) o una lista negra en tiempo real ( RBL ) es un servicio para que el funcionamiento de los servidores de correo realice una comprobación a través de una consulta del Sistema de nombres de dominio (DNS) para determinar si la dirección IP de un host remitente está en la lista negra de correo no deseado . [1] La mayoría del software de servidor de correo se puede configurar para comprobar dichas listas, normalmente rechazando o marcando los mensajes de dichos sitios.

Una DNSBL es un mecanismo de software, más que una lista o política específica. Existen docenas de DNSBL. [2] Utilizan una amplia gama de criterios para incluir y eliminar direcciones de la lista. Estos pueden incluir la inclusión de direcciones de computadoras zombi u otras máquinas que se utilizan para enviar spam, proveedores de servicios de Internet (ISP) que hospedan voluntariamente a spammers o aquellos que han enviado spam a un sistema honeypot .

Desde la creación de la primera DNSBL en 1998, el funcionamiento y las políticas de estas listas han sido frecuentemente objeto de controversia, [3] [4] tanto en círculos de defensa de Internet como, ocasionalmente, en demandas judiciales. Muchos operadores y usuarios de sistemas de correo electrónico [5] consideran que las DNSBL son una herramienta valiosa para compartir información sobre las fuentes de spam, pero otros, incluidos algunos destacados activistas de Internet, las han rechazado por considerarlas una forma de censura . [6] [7] [8] [9] Además, un pequeño número de operadores de DNSBL han sido objeto de demandas judiciales presentadas por spammers que buscan que se cierren las listas. [10]

Historia

La primera DNSBL fue la Real-time Blackhole List (RBL), creada en 1997, primero como un feed del Border Gateway Protocol (BGP) por Paul Vixie , y luego como una DNSBL por Eric Ziegast como parte del Mail Abuse Prevention System (MAPS) de Vixie; Dave Rand en Abovenet fue su primer suscriptor. [11] La primera versión de la RBL no se publicó como una DNSBL, sino como una lista de redes transmitidas a través de BGP a enrutadores propiedad de suscriptores para que los operadores de red pudieran descartar todo el tráfico TCP/IP para las máquinas utilizadas para enviar spam o alojar servicios de soporte de spam, como un sitio web. El inventor de la técnica más tarde comúnmente llamada DNSBL fue Eric Ziegast mientras trabajaba en Vixie Enterprises.

El término "agujero negro" se refiere a un agujero negro de red , una expresión para un enlace en una red que descarta el tráfico entrante en lugar de reenviarlo normalmente. La intención del RBL era que los sitios que lo usaran rechazaran el tráfico de sitios que admitieran spam, ya sea enviándolo activamente o de otras maneras. Antes de que una dirección se incluyera en el RBL, los voluntarios y el personal de MAPS intentarían repetidamente comunicarse con las personas responsables de ella y corregir sus problemas. Tal esfuerzo se consideró muy importante antes de bloquear todo el tráfico de la red, pero también significaba que los spammers y los ISP que apoyaban el spam podían demorar su inclusión en el RBL durante largos períodos mientras se desarrollaban dichas discusiones.

Más tarde, el RBL también se publicó en formato DNSBL y Paul Vixie animó a los autores de sendmail y otros programas de correo a implementar el soporte RBL en sus clientes. Esto permitió que el software de correo consultara el RBL y rechazara el correo de los sitios incluidos en la lista por servidor de correo en lugar de bloquear todo el tráfico.

Poco después de la aparición de la RBL, otros comenzaron a desarrollar sus propias listas con diferentes políticas. Una de las primeras fue el Sistema de modificación de comportamiento de retransmisión abierta (ORBS) de Alan Brown. Este sistema utilizaba pruebas automatizadas para descubrir y listar servidores de correo que se ejecutaban como retransmisores de correo abiertos (que los spammers podían aprovechar para transportar su correo basura). ORBS fue controvertido en su momento porque muchas personas pensaban que ejecutar un retransmisor abierto era aceptable y que escanear Internet en busca de servidores de correo abiertos podía ser abusivo.

En 2003, varias listas DNSBL sufrieron ataques de denegación de servicio (DOS). Dado que ninguna de las partes ha admitido la autoría de estos ataques ni se ha descubierto que fueran responsables, su propósito es una cuestión de especulación. Sin embargo, muchos observadores creen que los ataques son perpetrados por spammers con el fin de interferir en el funcionamiento de las listas DNSBL o presionarlas para que cierren. En agosto de 2003, la empresa Osirusoft , operadora de varias listas DNSBL, incluida una basada en el conjunto de datos SPEWS , cerró sus listas después de sufrir semanas de ataques casi continuos.

Las especificaciones técnicas para las DNSBL aparecieron relativamente tarde en el RFC5782. [12]

DNSBL de URI

Un Identificador Uniforme de Recursos (URI) DNSBL es un DNSBL que enumera los nombres de dominio y, a veces, también las direcciones IP que se encuentran en los enlaces "cliqueables" contenidos en el cuerpo de los mensajes spam, pero que generalmente no se encuentran dentro de los mensajes legítimos.

Las DNSBL URI se crearon cuando se determinó que mucho spam lograba pasar los filtros de spam durante ese breve período de tiempo entre el primer uso de una dirección IP de envío de spam y el punto en el que esa dirección IP de envío se incluyó por primera vez en las principales DNSBL basadas en IP de envío.

En muchos casos, este elusivo spam contiene en sus enlaces nombres de dominio o direcciones IP (denominados colectivamente URI) donde dicho URI ya fue detectado en spam previamente detectado y donde no se encuentra en correo electrónico que no es spam.

Por lo tanto, cuando un filtro de spam extrae todas las URI de un mensaje y las compara con una URI DNSBL, el spam se puede bloquear incluso si la IP de envío de ese spam aún no figura en ninguna IP de envío DNSBL.

De las tres DNSBL de URI principales, la más antigua y popular es SURBL . [13] Después de que se creara SURBL, algunos de los voluntarios de SURBL comenzaron la segunda DNSBL de URI principal, URIBL . [14] En 2008, otro voluntario de SURBL de larga data comenzó otra DNSBL de URI, ivmURI . [15] El Proyecto Spamhaus proporciona la Lista de Bloqueo de Dominios de Spamhaus ( DBL ) que describen como dominios "encontrados en mensajes de spam". [16] La DBL está pensada como una URIBL y una RHSBL, para ser verificada contra los dominios en el sobre y los encabezados de un mensaje y los dominios en las URL en los cuerpos de los mensajes. A diferencia de otras URIBL, la DBL solo enumera nombres de dominio, no direcciones IP, ya que Spamhaus proporciona otras listas de direcciones IP.

Las DNSBL URI suelen confundirse con las RHSBL (Right Hand Side BL), pero son diferentes. Una DNSBL URI enumera los nombres de dominio y las IP que se encuentran en el cuerpo del mensaje. Una RHSBL enumera los nombres de dominio utilizados en la dirección de correo electrónico "de" o "responder a". La eficacia de las RHSBL es discutible, ya que muchos mensajes de spam utilizan direcciones "de" falsificadas o direcciones "de" que contienen nombres de dominio de correo gratuito populares, como @gmail.com, @yahoo.com o @hotmail.com. Las DNSBL URI se utilizan más que las RHSBL, son muy eficaces y las utilizan la mayoría de los filtros de spam.

Principio

Para operar un DNSBL se requieren tres cosas: un dominio bajo el cual alojarlo, un servidor de nombres para ese dominio y una lista de direcciones para publicar.

Es posible proporcionar un DNSBL mediante cualquier software de servidor DNS de uso general . Sin embargo, esto suele ser ineficiente para zonas que contienen una gran cantidad de direcciones, en particular las DNSBL que enumeran bloques de red de enrutamiento entre dominios sin clases completos. Para el gran consumo de recursos que supone utilizar software diseñado como servidor de nombres de dominio, existen aplicaciones de software específicas para cada función, diseñadas específicamente para servidores con una función de lista negra de DNS.

La parte difícil de operar una DNSBL es llenarla con direcciones. Las DNSBL destinadas al uso público suelen tener políticas específicas publicadas sobre lo que significa una lista y deben operarse en consecuencia para lograr o mantener la confianza del público.

Consultas DNSBL

Cuando un servidor de correo recibe una conexión de un cliente y desea comprobar ese cliente con una DNSBL (digamos, dnsbl.example.net ), hace más o menos lo siguiente:

  1. Tome la dirección IP del cliente (por ejemplo, 192.168.42.23 ) e invierta el orden de los octetos, obteniendo 23.42.168.192 .
  2. Agregue el nombre de dominio de DNSBL: 23.42.168.192.dnsbl.example.net .
  3. Busque este nombre en el DNS como un nombre de dominio (registro "A"). Esto devolverá una dirección, que indica que el cliente está en la lista, o un código "NXDOMAIN" ("No existe dicho dominio"), que indica que el cliente no está en la lista.
  4. De manera opcional, si el cliente está incluido en la lista, busque el nombre como un registro de texto (registro "TXT"). La mayoría de las DNSBL publican información sobre por qué un cliente está incluido en los registros TXT.

Por lo tanto, buscar una dirección en una DNSBL es similar a buscarla en un DNS inverso. Las diferencias son que una búsqueda en una DNSBL utiliza el tipo de registro "A" en lugar de "PTR" y utiliza un dominio directo (como dnsbl.example.net mencionado anteriormente) en lugar del dominio inverso especial in-addr.arpa .

Existe un protocolo informal para las direcciones devueltas por las consultas DNSBL que coinciden. La mayoría de las DNSBL devuelven una dirección en la red de bucle invertido IP 127.0.0.0/8. La dirección 127.0.0.2 indica una lista genérica. Otras direcciones en este bloque pueden indicar algo específico sobre la lista: que indica un relé abierto, un proxy, un host propiedad de un spammer, etc. Para obtener más detalles, consulte RFC 5782.

Dirección URL DNSBL

Una consulta DNSBL de URI (y una consulta RHSBL) es bastante sencilla. El nombre de dominio que se va a consultar se antepone al host de la lista DNS de la siguiente manera:

ejemplo.net.dnslist.ejemplo.com

donde dnslist.example.com es el host de la lista DNS y example.net es el dominio consultado. Generalmente, si se devuelve un registro A, se incluye el nombre.

Políticas de DNSBL

Las distintas DNSBL tienen políticas diferentes. Las políticas de DNSBL difieren entre sí en tres aspectos:

  • Objetivos. ¿Qué pretende incluir la DNSBL ? ¿Se trata de una lista de servidores de correo de retransmisión abierta o proxies abiertos, o de direcciones IP que se sabe que envían spam, o quizás de direcciones IP que pertenecen a proveedores de servicios de Internet que albergan spammers?
  • Nominación. ¿Cómo descubre la DNSBL las direcciones que desea incluir en su lista? ¿Utiliza las nominaciones enviadas por los usuarios? ¿Direcciones trampa de spam o honeypots ?
  • Duración de los anuncios. ¿Cuánto dura un anuncio ? ¿Se vencen automáticamente o solo se eliminan manualmente? ¿Qué puede hacer el operador de un host que figura en el listado para que lo eliminen de él?

Tipos

Además de los diferentes tipos de entidades listadas (direcciones IP para las DNSBL tradicionales, nombres de host y de dominio para las RHSBL, URI para las URIBL), existe una amplia gama de variaciones semánticas entre las listas en cuanto a lo que significa una lista. Los propios mantenedores de listas han estado divididos sobre las cuestiones de si sus listas deben considerarse declaraciones de hechos objetivos u opiniones subjetivas y sobre cómo deben utilizarse mejor sus listas. Como resultado, no existe una taxonomía definitiva para las DNSBL. Algunos nombres definidos aquí (por ejemplo, "Yellow" y "NoBL" [17] ) son variedades que no se utilizan ampliamente y, por lo tanto, los nombres en sí no se utilizan ampliamente, pero deberían ser reconocidos por muchos especialistas en control de spam.

Lista blanca / Lista de permitidos
Un listado es una indicación afirmativa de confianza esencialmente absoluta.
Lista negra / lista de bloqueo
Una lista es una indicación negativa de desconfianza esencialmente absoluta
Lista gris
Con mayor frecuencia se utiliza como una sola palabra (lista gris o inclusión en listas grises) que no involucra directamente a las DNSBL, sino que utiliza la postergación temporal de correo de fuentes desconocidas para permitir el desarrollo de una reputación pública (como las listas de DNSBL) o para desalentar el envío de correo basura centrado en la velocidad. En ocasiones se utiliza para referirse a las DNSBL reales en las que las listas denotan distintos niveles no absolutos y formas de confianza o desconfianza.
Lista amarilla
Una lista indica que se sabe que la fuente produce una mezcla de spam y no spam a tal grado que hace inútil verificar otras DNSBL de cualquier tipo.
Lista NoBL
Una lista indica que se cree que la fuente no envía spam y no debe estar sujeta a pruebas de lista negra, pero no es tan confiable como una fuente incluida en la lista blanca.

Uso

  • La mayoría de los agentes de transferencia de mensajes (MTA) [nb 1] pueden configurarse para bloquear absolutamente o (con menos frecuencia) aceptar correo electrónico según una lista DNSBL. Esta es la forma de uso más antigua de las DNSBL. Según el MTA específico, puede haber distinciones sutiles en la configuración que hacen que los tipos de listas como Yellow y NoBL sean útiles o inútiles debido a la forma en que el MTA maneja múltiples DNSBL. Una desventaja de usar el soporte directo de DNSBL en la mayoría de los MTA es que las fuentes que no están en ninguna lista requieren verificar todas las DNSBL que se están usando con relativamente poca utilidad para almacenar en caché los resultados negativos. En algunos casos, esto puede causar una desaceleración significativa en la entrega de correo. El uso de listas White, Yellow y NoBL para evitar algunas búsquedas se puede utilizar para aliviar esto en algunos MTA.
  • Las DNSBL se pueden utilizar en software de análisis de spam basado en reglas como Spamassassin , donde cada DNSBL tiene su propia regla. Cada regla tiene un peso positivo o negativo específico que se combina con otros tipos de reglas para puntuar cada mensaje. Esto permite el uso de reglas que actúan (según los criterios disponibles en el software específico) para "poner en lista blanca" el correo que de otro modo sería rechazado debido a una lista DNSBL o debido a otras reglas. Esto también puede tener el problema de una gran carga de búsqueda de DNS sin resultados útiles, pero puede que no demore tanto el correo porque la puntuación permite que las búsquedas se realicen en paralelo y de forma asincrónica mientras el filtro verifica el mensaje con las otras reglas.
  • Es posible combinar los métodos de prueba binaria y de reglas ponderadas con algunos conjuntos de herramientas. Una forma de hacerlo es verificar primero las listas blancas y aceptar el mensaje si la fuente está en una lista blanca, evitando todos los demás mecanismos de prueba. Una técnica desarrollada por Junk Email Filter [18] utiliza listas amarillas y listas NoBL para mitigar los falsos positivos que ocurren rutinariamente cuando se utilizan listas negras que no se mantienen cuidadosamente para evitarlos.
  • Algunas DNSBL se han creado para otros usos además de filtrar correo electrónico para detectar spam, sino más bien con fines demostrativos, informativos, retóricos y de control de pruebas. Algunos ejemplos incluyen la "Lista de no falsos negativos", la "Lista de los sietes de la suerte", la "Lista de Fibonacci", varias listas que codifican información de GeoIP y listas de selección aleatoria escaladas para que coincidan con la cobertura de otra lista, útiles como control para determinar si los efectos de esa lista son distinguibles de los rechazos aleatorios.

Crítica

Algunos usuarios finales y organizaciones tienen inquietudes con respecto al concepto de las DNSBL o los detalles de cómo se crean y se utilizan. Algunas de las críticas incluyen:

  • Los correos electrónicos legítimos se bloquean junto con el spam de los servidores de correo compartidos. Cuando el servidor de correo compartido de un ISP tiene una o más máquinas comprometidas que envían spam, puede aparecer en una lista de DNSBL. Los usuarios finales asignados a ese mismo servidor de correo compartido pueden encontrar sus correos electrónicos bloqueados al recibir servidores de correo que utilizan dicha DNSBL. [19] En mayo de 2016, el sistema SORBS estaba bloqueando los servidores SMTP de Telstra Australia, el proveedor de servicios de Internet más grande de Australia. Esto no es una sorpresa ya que en cualquier momento, habría miles de computadoras conectadas a este servidor de correo infectadas por virus de tipo zombi que envían spam. El efecto es cortar todos los correos electrónicos legítimos de los usuarios del sistema Telstra Australia.
  • Listas de direcciones IP dinámicas. Este tipo de DNSBL enumera las direcciones IP enviadas por los ISP como dinámicas y, por lo tanto, presumiblemente inadecuadas para enviar correo electrónico directamente; [7] se supone que el usuario final debe utilizar el servidor de correo del ISP para todos los envíos de correo electrónico. Pero estas listas también pueden incluir accidentalmente direcciones estáticas, que pueden ser utilizadas legítimamente por propietarios de pequeñas empresas u otros usuarios finales para alojar pequeños servidores de correo electrónico. [20]
  • Listas que incluyen "operaciones de apoyo al spam", como MAPS RBL. [21] Una operación de apoyo al spam es un sitio que no puede enviar spam directamente, pero que proporciona servicios comerciales a los spammers, como el alojamiento de sitios web que se anuncian en spam. La negativa a aceptar correo de operaciones de apoyo al spam tiene como objetivo un boicot para alentar a dichos sitios a dejar de hacer negocios con los spammers, a costa de incomodar a los no spammers que utilizan el mismo sitio que los spammers.
  • Algunas listas tienen criterios de inclusión poco claros y la exclusión puede no ocurrir de manera automática ni rápida. Algunos operadores de DNSBL solicitarán un pago (por ejemplo, uceprotect.net) [22] o una donación (por ejemplo, SORBS ). Algunas de las muchas políticas de inclusión/exclusión de listas se pueden encontrar en el artículo Comparación de listas negras de DNS.
  • Debido a que las listas tienen distintos métodos para agregar direcciones IP y/o URI, puede resultar difícil para los remitentes configurar sus sistemas de manera adecuada para evitar ser incluidos en una lista DNSBL. Por ejemplo, la lista DNSBL de UCEProtect parece incluir direcciones IP solo después de haber validado una dirección de destinatario o establecido una conexión TCP, incluso si nunca se ha entregado un mensaje de spam. [23]

A pesar de las críticas, pocas personas se oponen al principio de que los sitios de recepción de correo deberían poder rechazar correo no deseado de forma sistemática. Una de las personas que se opone es John Gilmore , que opera deliberadamente un relé de correo abierto . Gilmore acusa a los operadores de DNSBL de violar la ley antimonopolio .

Que Joe Blow rechace correos electrónicos es legal (aunque es una mala política, similar a "matar al mensajero"). Pero si Joe y diez millones de amigos se unen para hacer una lista negra, están ejerciendo un poder monopólico ilegal. [24]

Varias partes, como la Electronic Frontier Foundation y Peacefire , han expresado su preocupación por el uso que hacen los ISP de las DNSBL . Una declaración conjunta emitida por un grupo que incluye a la EFF y a Peacefire se refirió al "bloqueo oculto", en el que los ISP utilizan las DNSBL u otras técnicas de bloqueo de correo basura sin informar a sus clientes. [25]

Demandas judiciales

Los spammers han presentado demandas contra los operadores de DNSBL por motivos similares:

Ejemplos notables

Véase también

Notas

  1. ^ A julio de 2016, se sabe que 30 de los 41 MTA enumerados en la Comparación de servidores de correo#Funciones antispam admiten DNSBL, 1 no lo hace y los 10 restantes no se conocen.

Referencias

  1. ^ "¿Qué es una DNSBL?" DNSBL.info . Consultado el 21 de junio de 2020 .
  2. ^ "Listas negras de DNS y RHS". Archivado desde el original el 21 de marzo de 2013. Consultado el 26 de marzo de 2013 .{{cite web}}: CS1 maint: URL no apta ( enlace )
  3. ^ Lewis, Chris; Sergeant, Matt. Descripción general de las mejores prácticas operativas de listas basadas en DNS (DNSBL) de correo electrónico. doi : 10.17487/RFC6471 . RFC 6471. Consultado el 25 de mayo de 2020 .
  4. ^ "RBLMon.com: ¿Qué son los RBL y cómo funcionan?". Archivado desde el original el 4 de septiembre de 2017. Consultado el 26 de marzo de 2013 .
  5. ^ "Revelación de la pertenencia a una botnet mediante el uso de contrainteligencia DNSBL" (PDF) . Consultado el 26 de marzo de 2013 .
  6. ^ "Crítica de la RBL". 11 de febrero de 2008. Consultado el 26 de marzo de 2013 .
  7. ^ ab "Electronic Frontier Foundation, EFFector, vol. 14, n.º 31, 16 de octubre de 2001". 12 de enero de 2012. Consultado el 26 de marzo de 2013 .
  8. ^ "Verio amordaza al fundador de la EFF por spam". The Register . Consultado el 26 de marzo de 2013 .
  9. ^ "Elegir el spam en lugar de la censura". Archivado desde el original el 21 de abril de 2003. Consultado el 26 de marzo de 2013 .
  10. ^ "EMarketersAmerica.org demanda a grupos antispam" . Consultado el 26 de marzo de 2013 .
  11. ^ McMillan, Robert (diciembre de 1997). "¿Qué detendrá el spam?" . Consultado el 16 de mayo de 2008 .
  12. ^ J. Levine (febrero de 2010). Listas negras y listas blancas de DNS. Grupo de trabajo de investigación de Internet . doi : 10.17487/RFC5782 . ISSN  2070-1721. RFC 5782. Informativo.
  13. ^ "SURBL". SURBL . Consultado el 6 de mayo de 2012 .
  14. ^ "URIBL". URIBL . Consultado el 6 de mayo de 2012 .
  15. ^ "ivmURI". Dnsbl.invaluement.com. 2008-05-31. Archivado desde el original el 2012-05-05 . Consultado el 2012-05-06 .
  16. ^ "La lista de dominios bloqueados". El proyecto Spamhaus . Consultado el 10 de octubre de 2014 .
  17. ^ Perkel, Marc. "Un nuevo paradigma para las listas basadas en DNS". Archivado desde el original el 28 de enero de 2013. Consultado el 20 de marzo de 2012 .
  18. ^ "Filtro de correo basura". Wiki.junkemailfilter.com. 17 de febrero de 2012. Consultado el 6 de mayo de 2012 .
  19. ^ "Explicación de los problemas de entrega de correo electrónico" . Consultado el 26 de marzo de 2013 .
  20. ^ "El proyecto Spamhaus, lista de bloqueo de políticas" . Consultado el 26 de marzo de 2013 .
  21. ^ "Mapas Rbl". Mail-abuse.com. 2012-03-03 . Consultado el 2012-05-06 .
  22. ^ UCEPROTECT. "UCEprotect.net". UCEprotect.net . Consultado el 6 de mayo de 2012 .
  23. ^ Simpson, Ken. "Cómo entrar en una lista negra sin enviar spam". MailChannels Blog . MailChannels Corporation. Archivado desde el original el 2011-09-19 . Consultado el 2011-09-16 .
  24. ^ "TOAD.com". TOAD.com. Archivado desde el original el 2012-05-03 . Consultado el 2012-05-06 .
  25. ^ "Declaración de la coalición contra el "bloqueo furtivo"". Peacefire.org. 2001-05-17 . Consultado el 2012-05-06 .
  26. ^ McWilliams, Brian (10 de septiembre de 2003). "No hay tregua en las guerras del spam". Wired . Consultado el 12 de abril de 2021 .
  27. ^ "Linxnet.com". Linxnet.com . Consultado el 6 de mayo de 2012 .
  28. ^ Leyden, John (5 de septiembre de 2011). «Spamhaus triunfa tras cinco años de lucha contra el correo masivo». The Register . Consultado el 12 de abril de 2021 .
  • Blacklist Monitor: estadísticas semanales de tasas de éxito y fracaso para listas negras específicas
  • Cómo crear una DNSBL - Tutorial sobre cómo crear una DNSBL (Lista negra de DNS)
Obtenido de "https://es.wikipedia.org/w/index.php?title=Lista_de_bloqueo_del_sistema_de_nombres_de_dominio&oldid=1251960713"