¿Nodored esta baneado por UCEPROTECT?

Las RBL o Realtime Blackhole Lists pueden ser una gran herramienta en nuestro arsenal de seguridad para el control de SPAM. Es posible que no sepas de qué estoy hablando ahora mismo, inclusive no comprendas como una RBL puede afectar tu actividad diaria en tu empresa. Así que comencemos por lo básico.

Las RBL o Realtime Blackhole Lists pueden ser una gran herramienta en nuestro arsenal de seguridad para el control de SPAM. Es posible que no sepas de qué estoy hablando ahora mismo, inclusive no comprendas como una RBL puede afectar tu actividad diaria en tu empresa. Así que comencemos por lo básico.

¿De qué sirve una RBL?

Lo diré en términos simples. Son bases de datos que usamos todos los proveedores de correo electrónico y los servidores de correo electrónico (Grandes o pequeños) para verificar si los servidores y las direcciones IP están enviando spam u otro contenido abusivo al contrastar contra una lista conocida de spammers.

Estos servicios utilizan una serie de métodos para compilar listas de direcciones IP que supuestamente envían correo no deseado, en su mayoría mediante trampas que las atraen con direcciones de correo electrónico “envenenadas” para que actúen como víctimas. Aprovechan el servicio DNS normalmente conocido por enrutar el tráfico al convertir los nombres de dominio en direcciones IP. En este contexto, las RBL sirven como una base de datos útil de direcciones IP abusivas conocidas, que tu puedes consultar y detectar, ya que la RBL da una dirección de bucle invertido a una respuesta incorrecta. https://www.dnsbl.info/ tiene una breve explicación e historia de esta tecnología.

Por lo general, las RBL no son un problema a nivel de un servidor de hosting, pues están más relacionadas con los servidores de correo electrónico, y solo ocasionalmente requiere realizar solicitudes de eliminación para las direcciones IP de nuestros servidores de hosting, pues contamos con sistemas avanzados de monitoreo que previenen que caigamos en listas negras.

Dicho esto, una gran cantidad de nuestros servidores, y los de muchos otros proveedores de hosting llevan tiempo con advertencias de DNS de MXToolbox. Inclusive algunos de nuestros clientes nos contactan preocupados al ver que estamos listados en UCEPROTECT.

uceprotect

Después de una investigación exhaustiva, descubrimos que el proveedor de RBL uceprotect[.]net ha enumerado una amplia gama de direcciones IP (incluidas las nuestras, inclusive servicios de Streaming) como spammers notables, a pesar de que muchos servidores ni siquiera están configurados o no son capaces de enviar contenido de correo electrónico.

Para ayudar a arrojar luz sobre el problema y brindar información a cualquier persona que reciba advertencias de UCEPROTECT, aquí hay detalles de la situación con un poco de contexto de fondo sobre el uso y la solución de problemas de RBL en buena medida.

Uso de RBL para bloquear el spam

Actualmente existe una gran cantidad de RBL que aprovechan una amplia gama de criterios para enumerar y eliminar direcciones IP. Normalmente, es saludable contrastar una IP en 3 o más RBL respetados para identificar si un servidor está baneado.

Hay una gran cantidad de herramientas disponibles para automatizar la verificación de tu propio servidor o incluso la conexión de tu ISP local (Proveedor de Internet).

La solución más utilizada y fiable es MXToolbox, prueba la dirección IP de un servidor de correo contra 86 RBL basados ​​en DNS.

UCEPROTECT: Una estafa de listas negras

Como se discutió brevemente en la introducción, recientemente hemos visto el mal comportamiento del proveedor de RBL uceprotect[.]net.

Es común que ellos listen IPs de servidores como generadores de SPAM, sin considerar que listan IPs de servidores que no tienen capacidad alguna de enviar correos.

Simplemente UCEPROTECT lista masivamente IPs en forma indiscriminada. Pero si vamos más allá, a diferencia de cualquier otra RBL en UCEPROTECT no existe una forma transparente de iniciar un proceso de desliste. Es decir, aun si un proveedor tuviera una IP afectada por SPAM, y tomara medidas correctivas, simplemente no tiene forma de deslistarla. 

Pago por “Express Delisting”

Estos son los consejos de UCEPROTECT para eliminar la IP de la lista de bloqueo:

La mayoría de las PC están infectadas, pero también es posible que un pirata informático haya ingresado en su sistema, son las razones en este caso. Deberían verificar todos los sistemas detrás de su IP con una herramienta Anti-virus/Anti-Trojan/Anti-Rootkit”.

Estamos seguros de que no hay malware en nuestros servidores, contamos con seguridad de clase mundial en la prevención e identificación de malware. Sería genial en este punto si dieran alguna pista de por qué piensan esto, por ejemplo, algún detalle técnico en lugar de afirmar públicamente que un hacker ha irrumpido en nuestro servidor.

Y aunque no proporcionan pruebas sobre la acusación, ni información adicional sobre el malware detectado, tienen otra opción:

rbl express

Se encuentra disponible un botón de opción “Express delisting” que nos lleva al siguiente mensaje:

¿Cómo se puede quitar la IP de UCEPROTECT-Nivel 1?

Cada IP temporal enumerada en el Nivel 1 se eliminará automáticamente (y sin cargo) tan pronto como deje de ser una fuente de abuso durante 7 días.

La caducidad automática es gratuita, ya que no requiere trabajo manual.

Si no desea esperar a que caduque, la exclusión expresa y acelerada de esta IP del Nivel 1 puede estar disponible opcionalmente con un cargo utilizando uno de los botones de servicio de pago anteriores.

Los pedidos de exclusión rápida acelerada son procesados ​​por proveedores de servicios externos, por lo que no se pueden ofrecer de forma gratuita.

Tenga en cuenta también que la eliminación rápida solo tiene sentido después de que se solucione el problema que causó la inclusión en el Nivel 1.

Si el problema no se soluciona, es solo una cuestión de tiempo hasta que la IP pueda volver a aparecer en el Nivel 1 de UCEPROTECT.

Básicamente, lo que esto significa es que si no deseamos esperar 7 días para que nos eliminen de su lista, debemos pagar 89 CHF (Casi USD $100). Por su propia admisión, no hay diligencia involucrada en esta eliminación, ya que puede volver a ser incluido en la lista si más tarde se descubre que todavía está abusando de sus sistemas.

Justifican el uso de un proveedor de servicios externo como una explicación de por qué el servicio no se puede ofrecer de forma gratuita, aunque pueden y deberían hacerlo.

Se puede encontrar otra advertencia que se aplica a toda la subred, dando una lista RBL a 255 direcciones IP vecinas:

uceprotect2

El primer párrafo sigue justificando el listado. Indicando problemas de abuso desde nuestra IP:

De acuerdo con la tabla anterior, las asignaciones se enumeran en el Nivel 2 si hubo demasiados Impactos del Nivel 1 enumerados IP en esos rangos. En otras palabras: Se vio demasiado abuso de una o varias redes a las que pertenece su IP, en la última semana. Esa es la razón por la cual su correo ha sido bloqueado.

En el siguiente párrafo, finalmente se contradicen indicando que no es nuestra IP, sino que tenemos malos vecinos:

¿Quién es el responsable de este listado?
¡USTED NO! Su IP 162.214.205.102 NO estuvo directamente involucrada en un abuso, pero tiene mala vecindad. Otros clientes dentro de este rango no se preocuparon por su seguridad y fueron pirateados, comenzaron a enviar spam o incluso atacaron a otros, mientras que su proveedor posiblemente ni siquiera se dio cuenta de que hay un problema grave. Lo sentimos por usted, pero ha elegido un proveedor que no actúa lo suficientemente rápido con los abusadores.

Amenazas y problemas de seguridad

Hay muchas otras afirmaciones poco convencionales y sorprendentes en su sitio web. Por ejemplo, en la pestaña Política de eliminación , las subpáginas incluyen la siguiente advertencia:

rbl warning

Su banner informa a los visitantes del sitio que si se quejan de su comportamiento y les notifican cualquier acción legal inminente, enviarán tu dirección de correo electrónico a los rastreadores de correo electrónico de los spammers, así como también enumerarán la dirección IP desde la que les contactas. Además publicarán sin el menor reparo tu información pública y comunicación en su sitio web.

¿Somos los únicos?

Nuestras direcciones IP no son las únicas afectadas por este RBL malicioso. También han bloqueado los servidores de correo electrónico de Barracuda, una empresa de seguridad muy respetada. También se pueden encontrar advertencias sobre UCEPROTECT en fuentes acreditadas como KonTech , Linode , TitanHQ , Spiceworks y Word to the Wise , etc.

Conclusión

UCEPROTECT es una RBL extorsionista con muy poca relevancia en la industria, afortunadamente. La recomendación es que si tu empresa está usando esta RBL como fuente de consulta deberías pensarlo dos veces. Muchas empresas están bloqueando a UCEPROTECT a nivel mundial, ya que son conocidas por sus tácticas sombrías y falsos positivos.

En cuanto a la salud de las IPs de Nodored; supervisamos nuestros propios servidores e IP de manera celosa y a diario.

Claro, en alguna ocasión estaremos en una RBL real, a veces porque tendremos problemas de SPAM en nuestros servidores o por falsos positivos, pues incluso las buenas RBLs a veces cometerán un error, pero ten la seguridad de que siempre estamos controlando la salud de nuestros servicios de correo electrónico.

¡Que tus correos no reboten por aplicar malas prácticas!

Gestiona tus correos de manera profesional

Related Articles

Responses

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *