Herramienta: Are you a Spammer?
Tiempo atrás publicamos un post con diferentes buenas prácticas utilizadas para aumentar la probabilidad de que nuestros correos lleguen bien a su destino.
Los dispositivos antispam, en su misión de decidir si un correo debe clasificarse o no como aceptable y útil para un usuario, utilizan diferentes mecanismos y algoritmos para cumplir con su cometido. De las primeras cosas que éstos analizan es sobre lo confiable que es la IP que envía el correo. Para ello, se basan en consultar a diversos servicios online si la dirección IP a analizar está en una lista negra o no. Para que una IP aparezca listada en estos servicios, tiene que haber sido reportada/denunciada con mayor o menor acierto.
El aparecer en una de estas listas, suele empeorar la calidad del servicio de correos enviados por nuestra organización. En casos extremos, puede resultar en una denegación del servicio de correo saliente al 100% debido a que puede que el ISP puede tomar medidas drásticas bloqueando el tráfico del puerto 25 saliente. Llegado a este punto, los administradores de sistemas comienzan a buscar en diferentes servicios web que permiten ver si una IP en concreto está en algunas listas negras. La más completa que he encontrado es la de Whatismyipaddress.
En este caso, el análisis de las listas negras en las que se encuentra la IP se hace manual y voluntariamente cuando ya se ha degradado parcial o totalmente el servicio.
A fin de disminuir el tiempo de resolución de la incidencia, y porque como decía el doctor Ocaña, "Más Vale Prevenir", presentamos una herramienta que automatiza la comprobación con un número grande de listas negras conocidas (más de 90) basándose en el servicio ofrecido por Whatismyipaddress. La idea es poder lanzar vía línea de comandos y de forma periódica (lo normal y razonable sería al menos una vez al día, aunque en sitios en los que el correo sea de gran criticidad podría aumentarse la frecuencia) una herramienta que permita conocer cuanto antes que nuestra IP ha sido reportada como spammer. Para ayudarnos en esta tarea podemos utilizar amISpammer?.
El modo de funcionamiento es muy sencillo. Como único parámetro obligatorio hemos de pasar la dirección IP que queremos comprobar a amISpammer.pl. Si no le indicamos nada más nos mostrará por en el terminal las listas negras en las que la IP aparece como reportada.
Por ejemplo, tomando una IP listada en el SANS, obtenemos lo siguiente:
[root@Carmen ~]# amISpammer.pl -i 218.30.22.82 -v0 am I Spammer? 19/12/2009 (http://www.lorenzomartinez.es/projs/amispammer) By Lorenzo Martinez ([email protected])
blackholes.five-ten-sg.com red
no-more-funn.moensted.dk red
spam.dnsbl.sorbs.net red
Como se ve, aparecen tres listas negras con categoría "red", lo que quiere decir que está reportada.
Como parámetros opcionales se puede cambiar el nivel de detalle; con -v2 aparecen todas las listas que se comprueban sea su resultado "green" (not blacklisted), "red" (blacklisted), "blue" o "grey" (que la lista negra no está disponible en este momento. Con -v1 y -v2). Asimismo se pueden pasar más parámetros para hacer que envíe un correo con los resultados al terminar (esta funcionalidad sólo es válida con nivel de detalle mínimo, es decir, sólo cuando se detecta que la IP ha sido reportada en alguna lista negra). Esto es útil cuando se deja hecha una tarea en un cron para que se compruebe periódicamente y de forma desatendida. Por ejemplo:
30 4 * * * /usr/local/bin/amISpammer.pl -i 213.X.Y.Z -v0 -f [email protected] -t [email protected] >> /dev/null 2>&1
Así, y en caso de aparecer en una lista negra, nos llegará un correo indicándonoslo para poder tratar la incidencia cuanto antes.
La herramienta ha sido desarrollada íntegramente en Perl, y comprobado su funcionamiento en Linux, Mac OSX y Windows (XP y 2003). Como dependencias, sólo en caso de querer envío de correos, necesitaremos el módulo Mail::Sender.
Queda en mi "To Do", hacer que la herramienta efectúe con threads las comprobaciones, en vez de hacerlas de forma iterativa. Quedo a vuestra disposición ante sugerencias para añadirle más funcionalidades a la herramienta.
Update: He subido la herramienta al repositorio de herramientas de SBD, así que la podéis descargar de aquí también.
Fuente: Security by Default.com
Los dispositivos antispam, en su misión de decidir si un correo debe clasificarse o no como aceptable y útil para un usuario, utilizan diferentes mecanismos y algoritmos para cumplir con su cometido. De las primeras cosas que éstos analizan es sobre lo confiable que es la IP que envía el correo. Para ello, se basan en consultar a diversos servicios online si la dirección IP a analizar está en una lista negra o no. Para que una IP aparezca listada en estos servicios, tiene que haber sido reportada/denunciada con mayor o menor acierto.
El aparecer en una de estas listas, suele empeorar la calidad del servicio de correos enviados por nuestra organización. En casos extremos, puede resultar en una denegación del servicio de correo saliente al 100% debido a que puede que el ISP puede tomar medidas drásticas bloqueando el tráfico del puerto 25 saliente. Llegado a este punto, los administradores de sistemas comienzan a buscar en diferentes servicios web que permiten ver si una IP en concreto está en algunas listas negras. La más completa que he encontrado es la de Whatismyipaddress.
En este caso, el análisis de las listas negras en las que se encuentra la IP se hace manual y voluntariamente cuando ya se ha degradado parcial o totalmente el servicio.
A fin de disminuir el tiempo de resolución de la incidencia, y porque como decía el doctor Ocaña, "Más Vale Prevenir", presentamos una herramienta que automatiza la comprobación con un número grande de listas negras conocidas (más de 90) basándose en el servicio ofrecido por Whatismyipaddress. La idea es poder lanzar vía línea de comandos y de forma periódica (lo normal y razonable sería al menos una vez al día, aunque en sitios en los que el correo sea de gran criticidad podría aumentarse la frecuencia) una herramienta que permita conocer cuanto antes que nuestra IP ha sido reportada como spammer. Para ayudarnos en esta tarea podemos utilizar amISpammer?.
El modo de funcionamiento es muy sencillo. Como único parámetro obligatorio hemos de pasar la dirección IP que queremos comprobar a amISpammer.pl. Si no le indicamos nada más nos mostrará por en el terminal las listas negras en las que la IP aparece como reportada.
Por ejemplo, tomando una IP listada en el SANS, obtenemos lo siguiente:
[root@Carmen ~]# amISpammer.pl -i 218.30.22.82 -v0 am I Spammer? 19/12/2009 (http://www.lorenzomartinez.es/projs/amispammer) By Lorenzo Martinez ([email protected])
blackholes.five-ten-sg.com red
no-more-funn.moensted.dk red
spam.dnsbl.sorbs.net red
Como se ve, aparecen tres listas negras con categoría "red", lo que quiere decir que está reportada.
Como parámetros opcionales se puede cambiar el nivel de detalle; con -v2 aparecen todas las listas que se comprueban sea su resultado "green" (not blacklisted), "red" (blacklisted), "blue" o "grey" (que la lista negra no está disponible en este momento. Con -v1 y -v2). Asimismo se pueden pasar más parámetros para hacer que envíe un correo con los resultados al terminar (esta funcionalidad sólo es válida con nivel de detalle mínimo, es decir, sólo cuando se detecta que la IP ha sido reportada en alguna lista negra). Esto es útil cuando se deja hecha una tarea en un cron para que se compruebe periódicamente y de forma desatendida. Por ejemplo:
30 4 * * * /usr/local/bin/amISpammer.pl -i 213.X.Y.Z -v0 -f [email protected] -t [email protected] >> /dev/null 2>&1
Así, y en caso de aparecer en una lista negra, nos llegará un correo indicándonoslo para poder tratar la incidencia cuanto antes.
La herramienta ha sido desarrollada íntegramente en Perl, y comprobado su funcionamiento en Linux, Mac OSX y Windows (XP y 2003). Como dependencias, sólo en caso de querer envío de correos, necesitaremos el módulo Mail::Sender.
Queda en mi "To Do", hacer que la herramienta efectúe con threads las comprobaciones, en vez de hacerlas de forma iterativa. Quedo a vuestra disposición ante sugerencias para añadirle más funcionalidades a la herramienta.
Update: He subido la herramienta al repositorio de herramientas de SBD, así que la podéis descargar de aquí también.
Fuente: Security by Default.com
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!