Listas negras DNSBL

Listas negras dns

Qué es una lista negra

Una lista negra es un mecanismo utilizado por los administradores de sistemas que permite restringir la llegada de spam a sus servidores.

Las listas DNSBL o RBL funcionan registrando las direcciones IP o redes de los spammers en directorios de acceso público que los servidores de correo pueden consultar desde internet a través de una sencilla consulta DNS.

Los administradores pueden configurar su MTA agente o servicio encargado de recibir y distribuir los mensajes de correo electrónico a los destinatarios para que utilice una o varias de estas listas.

De este modo, cuando el servidor recibe un correo electrónico realiza un proceso de validación que le permite marcar como spam o rechazar los correos cuya dirección IP de origen esta listada o filtrada como generadora de correo no deseado.

Al rechazar el envío, el remitente puede recibir un error de envío o un mensaje indicando el motivo de rechazo. Los mensajes contienen términos como listed, blackhole, denied, …

Si tu dirección Ip se encuentra filtrada en alguna lista antispam pública puedes tener problemas a la hora de realizar envíos a algunos proveedores.

Si te encuentras en este caso, puedes consultar con el servicio técnico de tu proveedor para que compruebe el motivo de la inclusión en la lista negra.

Cómo funcionan las listas DNSBL

Una lista DNSBL es una zona DNS cuyas entradas de tipo A corresponden a redes o direcciones IP listadas.

Las entradas A se registran con los octetos en orden inverso, lo que permite crear un espacios de nombres para las subredes.

El octeto inverso de la dirección IP 1.2.3.4 es 4.3.2.1

Así:

  • Es posible mejorar la eficiencia en el servidor DNS ya que puede agrupar el contenido listado en diferentes redes y subredes.
  • Permite bloquear redes o subredes enteras con un único registro DNS.
  • A través del TTL de la entrada DNS se puede controlar el tiempo de listado.

Si el servidor DNS nos proporciona una resolución DNS, la norma indica que nuestra dirección IP esta filtrada.

Los códigos de respuesta habituales hacen referencia a la interface de loopback o 127.0.0.0/8. Dentro de la red de loopback, las respuestas pueden varias dependiendo del proveedor, lo que permite en algunos casos obtener más información acerca del motivo del bloqueo. Los proveedores de listas negras suelen disponer de una guía de utilización en sus sitios web.

La convección indica que la dirección IP 127.0.0.2 es utilizada para realizar pruebas y que siempre aparece como listada.

Listas negras principales

Los administradores de sistemas suelen configurar una o varias de estas listas negras en sus servidores. Para asegurarte la recepción de tus envíos de correo electrónico es necesario que compruebes que la dirección IP de tu servidor no se encuentra filtrada en las más importantes. Las más populares entre los administradores de sistemas son Sorbs, Spamhaus y SpamCannibal.

La diferencia principales entre una y otras listas es el modo en el que se alimentan. La inclusión puede estar basada en spamtraps, sistemas de reputación o sistemas que detectan sistemas abiertos Mail Relay y sistemas que filtran los rebotes o bounces de correo llamados filtros backscatter.

El deslistado puede hacerse de forma automática, cuando mejore la reputación o bien, puede ser necesario realizar una solicitud a través de un formulario web.

A continuación encontramos un listado con las listas más comúnes y las zonas sobre las que realizar consultas:

Spamhaus

  • Zona de consulta: Tiene varias zonas con listas negras de distinta utilidad: sbl.spamhaus.org (block list), xbl.spamhaus.org (exploit list), pbl.spamhaus.org (policy block list ) que registra los usuarios que envían correo sin autenticar y zen.spamhaus.org que combina las listas anteriores siendo la más usada.
  • Deslistado manual.
  • No requiere registro.

Abuseat(CBL)

  • Zona de consulta: cbl.abuseat.org
  • Deslistado manual.
  • No requiere registro.

Sorbs

  • Zona de consulta: También dispone de varias zonas. La zona más utilizada y que engloba al resto es dnsbl.sorbs.net.
  • Deslistado manual.
  • No requiere registro.

Uceprotect

  • Zona de consulta: También varias zonas divididas en nivles de filtrado y listas blancas. Las zonas de listas negras son: dnsbl-1.uceprotect.net (For Level 1), dnsbl-2.uceprotect.net (For Level 2) y dnsbl-3.uceprotect.net (For Level 3).
  • Deslistado manual.
  • Requiere registro.

Lashback

  • Zona de consulta: ubl.unsubscore.com

Spamcop

  • Zona de consulta: bl.spamcop.net

Barracuda

  • Barracuda (BRBL) b.barracudacentral.org

Cómo comprobar si una IP esta listada

La forma más sencilla es utilizar el formulario que aparece en dondns.es. Puedes consultar directamente por el nombre de tu dominio, o por la dirección IP que quieres comprobar.

Podemos comprobar que una dirección se encuentra listada, realizado una consulta DNS contra la zona dada de una lista negra. Recordemos, que es necesario invertir los octetos de la dirección IP.

Por ejemplo, para comprobar si la dirección IP 127.0.0.2 esta listada realizamos la consulta DNS:

$ dig 2.0.0.127.spam.dnsbl.sorbs.net +short
127.0.0.6

# o bien:

$ nslookup 2.0.0.127.dnsbl.sorbs.net
Server:		127.0.1.1
Address:	127.0.1.1#53

Non-authoritative answer:
Name:	2.0.0.127.dnsbl.sorbs.net
Address: 127.0.0.6

Para realizar la consulta DNS hemos utilizado los comandos de consola dig y nslookup.

Vemos que efectivamente este filtrada, ya que obtenemos una respuesta: 127.0.0.6. En caso contrario, no hubiéramos obtenido respuesta DNS.

Cómo comprobar varias IPs

Si necesitas comprobar muchas direcciones IPs puedes realizar múltiples consultas a la API de dondns.es.

La respuesta se ofrece en formato JSON, realizando consultas a la dirección:

https://dondns.es/api/dnsbl?ip=DIRECCIONIP

La respuesta contiene un array con todas las listas que ha comprobado y el código de respuesta obtenido. En caso de existir es indicativo que la dirección IP esta filtrada.

A través de la consola obtenemos las listas que tienen filtrada nuestra IP del siguiente modo:

$ curl -s https://dondns.es/api/dnsbl?ip=127.0.0.2 | \
jq -r '.response.data.dnsbls[] | select (.code != "") | .name'
Abuseat(CBL)
Spamcop
DUHL Sorbs
Dnsbl Sorbs
Misc Sorbs
Web Sorbs
HTTP Sorbs
Spam Sorbs
UceprotectL2
Socks Sorbs
Backscatterer
UceprotectL1
UceprotectL3
Lashback
Barracuda (BRBL)

Para un listado de IPs:

$ for i in "127.0.0.2" "127.0.0.1";do echo [.]$i;curl -s https://dondns.es/api/dnsbl?ip=$i | \
jq -r '.response.data.dnsbls[] | select (.code != "") | "\t"+ .name';done
[.]127.0.0.2
	Lashback
	Abuseat(CBL)
	DUHL Sorbs
	Spamcop
	Dnsbl Sorbs
	Misc Sorbs
	Web Sorbs
	HTTP Sorbs
	Spam Sorbs
	UceprotectL2
	Socks Sorbs
	Backscatterer
	UceprotectL1
	UceprotectL3
	Barracuda (BRBL)
[.]127.0.0.1

Cómo solicitar un deslistado

La mayoría de las listas negras disponen de un formulario o una aplicación web para realizar la solicitud manual de deslistado.

Puedes comprobar si tu IP esta filtrada desde dondns.es. En caso de estar listada puedes seguir el enlace de la columna Listado, que te llevará directamente al formulario de listado de la lista negra.

César Maeso

Creative Commons License

Esta obra está bajo una licencia de Creative
Commons Reconocimiento-NoComercial-CompartirIgual
4.0 Internacional.