Fundamentos de la Blocklist de DNS

La respuesta es sencilla: Blocklists del Sistema de nombres de dominio (DNSBL).  Sin embargo, si no estás familiarizado con las DNSBL, no parecerá sencillo, o al menos no al principio. No te preocupes.  Vamos a revisar algunos fundamentos de las blocklists para ponerte al día.

¿DNSBL, lista blackhole, blocklist o lista negra?

En primer lugar, trataremos de eliminar las confusiones acerca de la terminología. ¿Se dice “listas negras”, “listas blackhole”, “blocklists del sistema de nombres de dominio” o “blocklists en tiempo real”?

La respuesta es… todas las anteriores (y probablemente haya más). Sin embargo, para los fines de este artículo nos referiremos a ellas como “DNSBL” y la versión simplificada “blocklist”.

¿Qué es una blocklist?

El nombre lo dice todo, es una lista, o mejor dicho, una base de datos que contiene direcciones IP, dominios o hashes. Estas listas son compiladas por equipos de investigación de especialistas que han observado recursos listados de Internet que:

1. Están involucrados en comportamiento malicioso, p. ej., envían spam, distribuyen malware, alojan sitios web de phishing y botnets, etc., o
2. Tienen una mala reputación.

Presentadas en una zona DNS, las blocklists pueden ser usadas por cualquiera que gestione su propia infraestructura de correo electrónico. Básicamente, hay tres etapas donde debes usar las DNSBL:

1. La configuración inicial de una conexión contra la dirección IP que se conecta
2. La “fase previa a los datos”, es decir, durante la conexión de Protocolo para transferencia simple de correo (SMTP)
3. La “fase posterior a los datos”, es decir, la etapa de filtrado de contenido.

¿Cómo se compilan las blocklists?

Todo empieza con los datos. Enormes cantidades de datos. De hecho, anteriormente, Spamhaus trabajaba con “big data” mucho antes de que “big data” se convirtiera en lo que es hoy.

El sector y otras fuentes comparten datos con Spamhaus: desde empresas de alojamiento hasta proveedores de servicios de Internet (ISP) y organizaciones que gobiernan Internet.  Desde luego, además de esto, Spamhaus ejecuta sus propios sistemas de trampas y trampas de spam.

Mediante investigaciones manuales, machine learning y heurística, nuestros investigadores analizan estos datos para ver si cumplen las políticas preestablecidas para estar en la lista.

¿Cómo se definen las políticas?

Antes de curar una DNSBL, Spamhaus decide los criterios que deben cumplir las IP y los dominios para ser listados. Estos criterios se conocen como “políticas”.

Aunque no es necesario decirlo, estas políticas no están dictadas al azar. Se deciden en consulta con el sector de Internet (tanto remitentes como destinatarios) para asegurar que son adecuadas para los propósitos y que cumplen las necesidades de los usuarios de Internet.

¿Cuántos datos se procesan para producir las blocklists?

Para comprender la extensión de los datos procesados por nuestro equipo para producir blocklists confiables y eficaces, a continuación te presentamos algunas de las cifras que se manejan diariamente:

• 3 millones de dominios evaluados
• 18 000 ejemplos de malware procesados
• 9 mil millones de conexiones SMTP analizadas
• Cientos de heurísticas usadas para identificar lo bueno de lo malo

Cómo funcionan las blocklists

Las direcciones IP, dominios o hashes asociados con un correo electrónico se pueden consultar en una DNSBL para ver si están listados. Como eres la persona que gestiona la infraestructura de correo electrónico, tú decides cómo manejar esos correos electrónicos potencialmente maliciosos. Ya sea que:

A. Rechaces el correo electrónico en tiempo real con un código de entrega adecuado, o

B. aceptes el mensaje y lo etiquetes para un filtrado adicional.

Lee Comprendiendo el código fuente de un correo malicioso  para comprender por qué hay blocklists específicas que se aplican en ciertas partes del código fuente de un correo electrónico.

¿Qué blocklists están disponibles?

Como se mencionó anteriormente, las blocklists contienen direcciones IP, dominios o hashes.   A continuación, encontrarás un resumen rápido de los tipos de blocklists que elabora Spamhaus:

Blocklists de Spamhaus (SBL): Direcciones IP que se cree que están involucradas en numerosas actividades, incluido el envío de spam, spam snowshow, comandos y controladores de botnets, además de espacios IP secuestrados.

Blocklist de exploits (XBL): Direcciones IP individuales (/32) que están infectadas con malware, gusanos, troyanos, etc. Esta lista evita que los servidores de correo acepten conexiones de dispositivos de cómputo comprometidos.

Blocklist de políticas (PBL): Direcciones IP que no deberían enviar correos, p. ej., dispositivos del Internet de las cosas (IoT).  Spamhaus trabaja en conjunto con el sector para permitir que los dueños de direcciones IP listen y gestionen sus propios rangos para su seguridad.

Auth Blocklist (AuthBL): Direcciones IP que se conoce que alojan bots que usan fuerza bruta o roban credenciales SMTP-AUTH para enviar correos maliciosos.

Blocklists de dominios (DBL): Dominios propiedad de spammers que se usan con propósitos nefastos.  También listamos dominios que son legítimos pero han sido vulnerados por individuos poco confiables y están siendo usados con intenciones maliciosas.

Zero Reputation Domains (ZRD): Dominios que han sido registrados en las últimas 24 horas. Te ayudan a filtrar correos de cibercriminales que registran y usan de inmediato varios dominios diariamente.

Blocklist de hash (HBL): Una blocklist de contenido que usa hashes criptográficos para listar direcciones de correo, direcciones de criptocarteras y archivos de malware.

¿Qué sigue?

Después de este tour por algunos de los fundamentos de las blocklists, por qué no pruebas los datos tú mismo. Regístrate aquí  para una prueba gratuita.