Comentarios en: Backscatter, un ataque de correo http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html Sun, 14 Mar 2010 19:39:53 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Por: loretahur http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3868 loretahur Mon, 22 Dec 2008 23:57:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3868 @OceanO: la teoría dice lo siguiente: <i>If you run a mail server you have a responsibility not to send backscatter. Bounces should ideally only be generated by a mail server to a local recipient. Mail servers should not generate bounces to non-local recipients, but should instead reject the mail during the SMTP session, and leave the remote sending server to handle the bounce: if a rejected mail is a legitimate message, the bounce gets generated by the remote sending machine, as expected; if a rejected mail is not a legitimate message, the remote end will probably not generate a bounce, and all is still well.</i> <br/><br/>La solución pasa por usar SPF, pero para ello es necesario que se estandarice y obligue a su utilización. Pero esto suena a utopía (y más teniendo en cuenta que hay gente que ni siquiera tiene resolución inversa para sus servidores de correo...) @OceanO: la teoría dice lo siguiente: If you run a mail server you have a responsibility not to send backscatter. Bounces should ideally only be generated by a mail server to a local recipient. Mail servers should not generate bounces to non-local recipients, but should instead reject the mail during the SMTP session, and leave the remote sending server to handle the bounce: if a rejected mail is a legitimate message, the bounce gets generated by the remote sending machine, as expected; if a rejected mail is not a legitimate message, the remote end will probably not generate a bounce, and all is still well.

La solución pasa por usar SPF, pero para ello es necesario que se estandarice y obligue a su utilización. Pero esto suena a utopía (y más teniendo en cuenta que hay gente que ni siquiera tiene resolución inversa para sus servidores de correo…)

]]> Por: OceanO http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3860 OceanO Thu, 18 Dec 2008 09:13:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3860 Hola Loretahur:<br/>En mi empresa también lo sufrimos, pero suele ser de golpe sobre un único buzón. Es decir, que el spammer utiliza un único remitente de nuestro dominio para enviar miles de mails, que los respectivos dominios se encargan de devolver al supuesto remitente, para su desesperación durante varios días.<br/>La solución que hemos implementado con nuestro proveedor, es detectar envíos de "demasiados" NDR a un único buzón. En ese caso, los ponemos en cuarentena, y al día siguiente le enviamos automáticamente un mail al usuario con una lista de los mismos, para que si eran legítimos solicite su envío nuevamente desde la cuarentena.<br/>Está funcionando bastante bien...<br/><br/>En cuanto a la medida que sugieres para evitar ser complices, comprobando si es spam antes de decir que no es entregable, veo algún problema:<br/>Si detectas que es spam automáticamnte, nunca es 100% seguro, sino solo probable (aunque sea muy probable), con lo que tirarlo a la basura y no decir al remitente que no lo puedes entregar al destinatario no es un mecanismo compatible con el RFC standard.<br/>Nosotros recibimos muuuuchos mails dirigidos a direccines inexistentes. Lo primero que hacemos cuando recibimos el comando "rcpt to:" es buscar el destinatario en nuestra librea de direcciones y rechazar la conexión en ese momento, con la respuesta standard de destinatario desconocido. Con eso no gastamos más ancho de banda al cerrar la conexión, ni capacidad de proceso, aunque tiene el efecto colateral que tu dices, de poder freir al pobre remitente que ha sido "spoofed". No hemos visto otra posibilidad de actuación sin salirnos de los standares... y queremos mantenernos en ellos. Hola Loretahur:
En mi empresa también lo sufrimos, pero suele ser de golpe sobre un único buzón. Es decir, que el spammer utiliza un único remitente de nuestro dominio para enviar miles de mails, que los respectivos dominios se encargan de devolver al supuesto remitente, para su desesperación durante varios días.
La solución que hemos implementado con nuestro proveedor, es detectar envíos de “demasiados” NDR a un único buzón. En ese caso, los ponemos en cuarentena, y al día siguiente le enviamos automáticamente un mail al usuario con una lista de los mismos, para que si eran legítimos solicite su envío nuevamente desde la cuarentena.
Está funcionando bastante bien…

En cuanto a la medida que sugieres para evitar ser complices, comprobando si es spam antes de decir que no es entregable, veo algún problema:
Si detectas que es spam automáticamnte, nunca es 100% seguro, sino solo probable (aunque sea muy probable), con lo que tirarlo a la basura y no decir al remitente que no lo puedes entregar al destinatario no es un mecanismo compatible con el RFC standard.
Nosotros recibimos muuuuchos mails dirigidos a direccines inexistentes. Lo primero que hacemos cuando recibimos el comando “rcpt to:” es buscar el destinatario en nuestra librea de direcciones y rechazar la conexión en ese momento, con la respuesta standard de destinatario desconocido. Con eso no gastamos más ancho de banda al cerrar la conexión, ni capacidad de proceso, aunque tiene el efecto colateral que tu dices, de poder freir al pobre remitente que ha sido “spoofed”. No hemos visto otra posibilidad de actuación sin salirnos de los standares… y queremos mantenernos en ellos.

]]> Por: loretahur http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3857 loretahur Mon, 15 Dec 2008 21:00:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3857 @txetxu: yo soy más de la mona Chita ;-)<br/><br/>@ioannes xabier: la pena es que contra eso no podemos hacer nada, porque los comentarios los hacen personas (no robots). De todas formas, si detectas alguno, avisa y mirare su dirección ip. Si se reitera, le denegaremos el acceso<br/><br/>@julen: ya os veo metiendo tortas a los spammers :D<br/><br/>@álvaro marín: eres mi gurú del correo. ¡Mil gracias Álvaro! Le echaré un ojo si la cosa se vuelve a poner fea<br/><br/>@may: joer... tú no te andas con chiquitas ¡Cómo se nota que eres de Basauri! :D @txetxu: yo soy más de la mona Chita ;-)

@ioannes xabier: la pena es que contra eso no podemos hacer nada, porque los comentarios los hacen personas (no robots). De todas formas, si detectas alguno, avisa y mirare su dirección ip. Si se reitera, le denegaremos el acceso

@julen: ya os veo metiendo tortas a los spammers :D

@álvaro marín: eres mi gurú del correo. ¡Mil gracias Álvaro! Le echaré un ojo si la cosa se vuelve a poner fea

@may: joer… tú no te andas con chiquitas ¡Cómo se nota que eres de Basauri! :D

]]> Por: MaY http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3856 MaY Mon, 15 Dec 2008 14:00:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3856 Solo dos ingredientes: Napalm + Cerilla. El problema es donde (y a quien) echarlo.... Solo dos ingredientes: Napalm + Cerilla. El problema es donde (y a quien) echarlo….

]]> Por: Alvaro Marín http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3855 Alvaro Marín Mon, 15 Dec 2008 09:39:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3855 Sí que se pueden hacer cosillas...VBounce de SpamAssassin es tu amigo ;-) Eso sí...MUCHO cuidado y configurándolo/tuneándolo al dedillo... Sí que se pueden hacer cosillas…VBounce de SpamAssassin es tu amigo ;-) Eso sí…MUCHO cuidado y configurándolo/tuneándolo al dedillo…

]]> Por: Julen http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3854 Julen Mon, 15 Dec 2008 06:41:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3854 La siguiente vez, avisa, que no veas cómo somos los de Bilbao. Les ponemos de vuelta y media. Entre Txetxu, Tarzań y cuatro mas... ;-) La siguiente vez, avisa, que no veas cómo somos los de Bilbao. Les ponemos de vuelta y media. Entre Txetxu, Tarzań y cuatro mas… ;-)

]]> Por: Ioannes Xabier http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3853 Ioannes Xabier Sun, 14 Dec 2008 21:06:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3853 Estos últimos meses en mi blog y en general en todo nireblog detecto mucho cloacking. Es señal de que la plataforma está cogiendo mucho nombre, enhorabuena. A mi me suelen tocar los links de hoteles, edreams, etc..que intentan subir su ranking en Google y llevan a dominios falsos...La solución es facil: AUTORESPONSABILIZACIÓN.<br/><br/>Por cierto, ¿todo ésto estará organizado? :-) Cuanto le darán al que pone los links en mi blog o en el tuyo?? Estos últimos meses en mi blog y en general en todo nireblog detecto mucho cloacking. Es señal de que la plataforma está cogiendo mucho nombre, enhorabuena. A mi me suelen tocar los links de hoteles, edreams, etc..que intentan subir su ranking en Google y llevan a dominios falsos…La solución es facil: AUTORESPONSABILIZACIÓN.

Por cierto, ¿todo ésto estará organizado? :-) Cuanto le darán al que pone los links en mi blog o en el tuyo??

]]> Por: Txetxu http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html/comment-page-1#comment-3852 Txetxu Sun, 14 Dec 2008 07:24:00 +0000 http://blog.loretahur.net/2008/12/backscatter-un-ataque-de-correo.html#comment-3852 Yo personalmente creo que una buena solución para moverse en esa jungla creo que sería llamar a Tarzán :) Yo personalmente creo que una buena solución para moverse en esa jungla creo que sería llamar a Tarzán :)

]]>