Las listas de bloqueo de sistema de nombres de dominio (DNSBL) se han convertido en una forma eficaz y económica de detener la avalancha de tráfico de correo electrónico entrante asociado con spam y otros correos maliciosos.  Son muchas las ventajas de utilizar listas de bloqueo, que reducen costos de infraestructura y el horario laboral e incrementan los í­ndices de captura.  Sin embargo, para aprovechar al máximo las DNSBL, es vital utilizarlas en los puntos correctos de tu proceso de filtrado de correos electrónicos.

Filtrado eficiente y eficaz

Existen muchí­simas opciones de seguridad de correo electrónico para tu infraestructura; desde filtrado de contenido y escaneo a herramientas basadas en red que echan mano de métodos distribuidos y colaborativos.

Desafortunadamente, casi todo lo anterior es costoso y requiere muchos recursos.  La clave del filtrado de correos electrónicos es eliminar el grueso de correos no deseados justo al principio del proceso antes de que lleguen a la etapa de inspección de contenido que sí­ requiere de abundantes recursos.

La comprobación DNSBL es el método más sencillo, rápido y económico que tienes a tu disposición. Entonces, ¿por qué no utilizarlo?

Etapas de utilización de DNSBL

Cuando aceptas y procesas un correo electrónico, hay tres áreas en las que debes usar listas de bloqueo:

  1. En la conexión inicial, cotejando con la IP que conecta.
  2. A lo largo de la fase previa a los datos de un correo electrónico; o sea, la transacción SMTP
  3. Una vez aceptados los datos del correo; es decir durante la inspección de contenido

Beneficios de usar DNSBL antes del filtrado de contenido

  • Ahorra ancho de banda: reducirás significativamente la cantidad de mensajes que se tienen que descargar.
  • Ahorra en conexiones abiertas: muchas conexiones no se mantienen abiertas innecesariamente.
  • Ahorra en actividad de almacenamiento: el rechazo antes del filtrado de contenido no utiliza recursos de almacenamiento (a excepción de algunas lí­neas de lí­neas de registro)
  • Reducción general de los requisitos de memoria, almacenamiento y CPU: tienes un volumen mucho menor de correos que requieren del costoso escaneo de contenidos.

1. Uso de listas de bloqueo DNS en la conexión inicial de correo electrónico

Al principio de una transacción de correo electrónico, un servidor remoto intenta iniciar una conexión con tu servidor.  En este punto, una búsqueda rápida (consulta) a una lista de bloqueo puede informar instantáneamente (bueno, casi al instante) si la dirección IP que conecta está asociada con un comportamiento malicioso o no.   

Si la dirección IP está en la lista, puedes elegir desechar la conexión de inmediato.  Recuerda, esta consulta se realiza incluso antes de que ocurra el intercambio de señales del Protocolo para transferencia simple de correo (SMTP).

Qué listas de bloqueo utilizar:

  • Lista de bloqueo de Spamhaus (SBL)
  • Lista de bloqueo de eXploits (XBL)
  • Lista de bloqueo de polí­ticas (PBL)

2. Utilización de listas de bloqueo DNS durante la fase previa a los datos

¿ Cuál es la fase previa a los datos?

Para todos los comandos de correo electrónico que ocurren tras el establecimiento de la conexión de correo electrónico inicial (tal como se explica arriba) y antes del comando DATA durante la conexión SMTP, hablamos de la fase previa a los datos.

Comprueba el DNS inverso de la IP que conecta

Una vez abierta la conexión, tú (el destinatario) deberí­as hacer una consulta de DNS inverso de la dirección IP que conecta.  

¿El resultado de la comprobación rDNS concuerda con la cadena HELO?

El resultado de la búsqueda anterior deberí­a cotejarse contra el dominio contenido en el HELO del remitente; p. ej.: (HELO mta-out.someisp.example). Si no concuerdan, la conexión deberá desecharse de inmediato.  Este es un indicador de que el remitente no es quien dice ser; p. ej., spoofing.  

Coteja el resultado de la rDNS con las listas de bloqueo

Coteja el dominio retornado con las DBL y los ZRD

Coteja el dominio contenido en el HELO con las listas de bloqueo

El dominio contenido en el HELO deberá cotejarse con las DBL y los ZRD, al tiempo que se ejecuta una búsqueda de DNS adelantada contra la SBL.

Consulta el dominio MAIL FROM (Return-path)

Después del HELO, durante la conexión SMTP, está el comando MAIL FROM.  Este se suele conocer como “Envelope-from” o “Return-path”. Deberás consultar el dominio que viene en esta cadena; p.ej., <[email protected]>

Cuando se coteja con las DBL y los ZRD y se recibe una respuesta positiva, los destinatarios pueden rechazar el correo o etiquetarlo para inspeccionarlo más a fondo durante el proceso de filtrado de contenido.

La transferencia del encabezado y contenido del correo electrónico 

Una vez ejecutado el comando RCPT TO, sigue el comando DATA, con lo cual se inicia la transferencia de datos, tanto del encabezado como el contenido del correo electrónico. Cuando el destinatario confirma que esta se ejecutó correctamente, el remitente transmite un comando QUIT, ya sea antes o después de la inspección del contenido, y se cierra la conexión.  

¿Se mantiene abierta la conexión durante la inspección de contenidos?

Esto depende de tus decisiones en cuanto a implementación y software elegido.  Al igual que con todas las opciones, hay puntos a favor y en contra para ambas:

Algunas implementaciones eligen mantener la conexión abierta hasta lograr el resultado de la inspección de contenidos.

Puntos a favor: Los remitentes siempre serán notificados de un rechazo, lo cual es la mejor estrategia en caso de que se presenten falsos positivos.

Puntos en contra: Consume muchos recursos y tu MTA debe estar a la altura de la tarea, incluso durante los picos. Cuando escasean los recursos, podrí­a haber retrasos.

La mayorí­a de implementaciones cierran la conexión antes de la inspección de contenidos.

Puntos a favor: Costos más bajos debido a que los requisitos de recursos son menores.

Puntos en contra: No se avisará al remitente en casos de falsos positivos.

Una inmersión profunda en los beneficios de utilizar DNSBL antes del filtrado de contenido

Reducción de la carga sobre tus recursos

Tal como hemos dicho, el filtrado de contenido y el escaneo demandan abundantes recursos. Reducir la cantidad de correos que llegan a este punto del proceso de filtrado de correos electrónicos ahorra memoria, reduce la potencia de procesamiento y disminuye la latencia.

Protección de infraestructura contra campañas de spam

Piensa en una situación en que recibas cientos de mensajes por segundo durante una campaña sostenida o creciente de spam.  Si dependes del filtrado de contenido o del escaneo para mitigar el ataque, tu infraestructura de email podrí­a colapsar simplemente por la carga del volumen de correos entrantes.

Aún si tienes suerte de que esto no suceda, seguirás incurriendo en altos costos, puesto que cada correo debe ser descargado y escaneado.

Los remitentes pueden depurar los problemas de retransmisión de correo

Cuando un correo es rechazado en la conexión inicial o en el saludo SMTP, se enví­a al remitente una notificación de estado de entrega (DSN) en tiempo real para avisar de la entrega fallida.  Desde la perspectiva del remitente, esto podrí­a ayudar a identificar y resolver los problemas de retransmisión de correo.

Los email no se dejan en las carpetas de correo basura

Como resultado de que los correos se rechacen en las primeras etapas de la transacción de email, los posibles correos electrónicos de spam no se descargan ni se dejan olvidados en una carpeta de correo basura.  De esta manera, se evita que los usuarios finales anden buscando un correo legí­timo entre los cientos o miles de correos de spam de su carpeta de correo basura.

La infraestructura de terceros inocentes no se inunda de correos devueltos

Si la dirección del remitente es una dirección falsificada, el tercero inocente cuyo correo se falsificó se inundará de mensajes devueltos.

Mayor protección contra una campañas de spam tormenta y spam snowshoe

La utilización de listas de bloqueo de dominio así­ como listas de bloqueo de IP te ofrece protección adicional contra spam tormenta y spam snowshoe, además de otras amenazas. Para conocer este tema en más detalle, te sugerimos leer Desarrolladores MTA: permitan el uso de DNSBL de dominio a nivel de SMTP.

¡Vale la pena recordar que nuestra lista de bloqueo de dominio contendrá muchos dominios antes de que sean visibles al mundo!

3. Utilización de listas de bloqueo DNS durante la fase posterior a los datos

Cuando el comando DATA ha sido ejecutado y el encabezado y el contenido del correo se transmitieron al destinatario, empieza la inspección de contenido, junto con las comprobaciones SPF, DKIM y DMARC.

Los encabezados de los correos electrónicos contienen datos estructurados que los hacen requerir menos recursos para analizar en comparación con el cuerpo de un email. Para entender mejor los componentes del encabezado y cuerpo y un correo, puedes leer Comprender el código fuente de un correo malicioso.

Aquí­ es donde las listas de bloqueo se pueden utilizar durante la inspección del encabezado:

Consulta de la dirección IP de origen:

Esta es la dirección IP que viene en la cadena recibida de la transacción original; es decir lo que generó el email en un principio.  Esto se puede cotejar con las SBL y AUTH BL. También se puede realizar una búsqueda rDNS cotejando con las DBL y los ZRD.

Consulta la dirección Reply-to:

La dirección de correo electrónico completa de este campo deberá cotejarse con la lista de bloqueo de hash (HBL), que contiene hash criptográficos de direcciones de correo electrónico.

Consulta la dirección del remitente:

Suele llamarse la dirección “Friendly From”, y debe cotejarse con la HBL y el dominio contenido en dicha dirección deberí­a cotejarse con las DBL y los ZRD, con una búsqueda de DNS adelantada en la SBL.

Finalmente, pasamos a la inspección de contenidos (¡desplázate hacia arriba y piensa en todas las oportunidades que has tenido para rechazar el correo antes de que llegue a esta parte tan costosa del proceso de filtrado!).

Dominios incluidos en el cuerpo del email

Las URL de sitios web o los correos que están en el contenido del cuerpo deberán cotejarse con las DBL, los ZRD, con una búsqueda de DNS adelantada en la SBL.  Los correos contenidos en el cuerpo del correo también se pueden cotejar con la HBL.

Las direcciones Bitcoin incluidas en el cuerpo del email

Consúltalas cotejando con la HBL, que tiene una sección de criptocartera con hash de bitcoin y otras direcciones de criptomonedas.

Archivos adjuntos de correo electrónico

Todos los archivos adjuntos deben cotejarse con la HBL, que tiene una lista de archivos de malware, además de las direcciones de correo electrónico y criptomonedas.

 

¿Cómo se implementa todo esto?

Desafortunadamente, habiendo tantas diferencias no es posible cubrir todos los detalles operativos especí­ficos de diversos sistemas de correo.  Aunque algunas de nuestras comprobaciones no se pueden implementar, te recomendamos consultar con el departamento de soporte del producto que estés utilizando.

La buena noticia es que tenemos dos plugins para filtros de código abierto: SpamAssassin y Rspamd, tanto para el filtrado previo a los datos (SMTP) como para el análisis de contenidos.

Si quieres probar DNS Blocklists y ejecutar tu propio servidor de email, regí­strate para acceder a los datos sin costo durante 30 dí­as. Nos encantarí­a saber cómo te está yendo.

Spamhaus Botnet Threat Update, Q2 2021

13 July 2021

Report

Researchers may have observed a 12%reduction in botnet command and controllers (C&Cs), however, more than one industry-leading provider is struggling to keep on top of botnet activity.