Problemas de SPAM.

Desde hace aproximadamente un mes tengo problemas con el SPAM, pero no por el recibirlo o enviarlo, sino porque debido a los problemas de seguridad del pasado he aparecido en la lista CBL como spammer (según ellos, el que estar en la lista no significa que seas un spammer, sino que se ha enviado correo no deseado desde tu dirección IP).

El caso es que me han llegado a casa tres cartas del Centro Nemesys de Telefónica indicándome que habían recibido notificaciones de que se enviaba correo no solicitado desde mi dirección IP. Después de mucho indagar y buscar, parece ser que por el simple echo de estar en la lista de CBL ya te envían la carta automáticamente.

Actualizado (14/06/2006): He vuelto a recibir otra carta (la pongo al final del documento), y creo que ya he dado con el problema, o eso espero.

Actualizado (20/02/2008): Nueva dirección de verificación.

Supongo que enviarán bastantes cartas al cabo del día, y más ahora que con el tema de las IPs dinámicas el poder saber quien es el usuario de la IP es un poco más difícil.

Una de las múltiples páginas que existen en internet que te permite revisar si tu IP está en la lista de spammers reconocidos es la de dnsstuff.com en ella podemos encontrar varias utilidades, como el típico WhoIs, Ping o ver la ciudad de una IP.

La solución al problema de las cartas del Centro Némesys pasa por verificar en un primer momento si tu IP está marcada como enviadero de spam, y si es así, entonces empezar a buscar por dónde se envía (por ejemplo, un PC con Spyware conectado a tu nodo), para ello nos servimos del linux, y de la opción LOG que te permite monitorizar que es lo que pasa por un puerto concreto, por ejemplo:

iptables -A FORWARD -p TCP -s IP_PERMITIDA –dport 25 -j ACCEPT
iptables -A FORWARD -p tcp –dport 25 -j LOG
iptables -A FORWARD -p tcp –dport 25 -j DROP

De esta forma nos aparecerá en el syslog los registros de los intentos de salida por el puerto 25 y podremos dar solución al problema.

Después de solucionar el problema debes dirigirte a la lista de CBL para dar de baja tu IP, o de lo contrario quedará "marcada" hasta que pase un tiempo.

También sería recomendable el instalar un antivirus en las máquinas windows de nuestra red, o, por ejemplo, combinar la potencia del Squid + SquidGuard y ClamAV para verificar las descargas realizadas por los usuarios de la red.

Actualizado a (14/06/2006):

El otro día, para ver si seguía listado en CBL me pasé a comprobar la IP, y cual es mi sorpresa que esta vuelve a estar listada, entonces leo que la fecha y hora de inclusión en la lista es del día 12 a medio día aprox. Nada, ahora que tengo un log con todas las salidas realizadas por el protocolo SMTP me paso a mirar dónde envío el correo que me ha dado de alta en la lista (después de solucionar un problema con el NTP, pero eso es otra historia), el caso es que el correo se envía a mi cuenta de GMAIL y no es spam, sino la confirmación de un artículo escrito dentro del blog. Reviso el correo recibido en GMAIL y como remitente tiene mi propia cuenta, por lo que, al aparecer yo como remitente y destinatario automáticamente es catalogado como spam, otra vez relleno el formulario de la baja de la lista, y paso a configurar para que el correo saliente se identifique con del blog, no como personal. Supongo que la lista CBL tomará datos de GMAIL de forma que se retro-alimenta. Ahora, a esperar si el fallo es ese o si por el contrario ya tengo algún problemas más gordo y no es sólo el estar catalogado el correo enviado por mi como spam en GMAIL.

Aquí dejo una transcripción de la carta recibida por el centro némesys.

ASUNTO: Spam

Estimado cliente:

En nuestra comunicación anterior poníamos en su conocimiento que recibíamos quejas de usuarios sobre la recepción de correos informáticos no deseados, ni solicitados, y que existía la posibilidad de que la remisión de dichos correos tuviera su origen en los sistemas informáticos de su propiedad.

Mediante la presente, le participo que seguimos recibiendo quejas en el mismo sentido, que implican a sus equipos informáticos como emisores de correos contrarios a la normativa legal vigente.

En evitación de futuras reclamaciones, le reiteramos, de manera perentoria, la necesidad de que revise la configuración de sus sistemas informáticos.

Por último, le recuerdo que para cualquier consulta o aclaración, nos tiene a su disposición en nuestra dirección de correo electrónico: "nemesys.check@xxxxxxxx.es", indicando como asunto

V06-xxxxxxxx

En espera de que esta situación sea solventada lo antes posible.

Atentamente le saluda

Actualizado (20/02/2008):

Una herramienta bastante buena a la hora de verificar que no estás dado de alta en ninguna lista es KLOTH.NET ya que algunas opciones de dnsstuff han pasado a ser de pago. También hay una utilidad en la web de Tom3.

8 comentarios

Saltar al formulario de comentarios

  1. Estoy teniendo un problema de acceso al domino isospain.net, el caso es que no puedo acceder desde casa, por lo que no puedo actualizar la página todo lo que me gustaría. Pero el problema es muy extraño. Como el PC de casa está conectada a la red de 2

  2. La mañana del domingo del EBE07 ha sido menos movida de lo que me esperaba, para empezar la conferencia sobre Second Life no ha sido tan jugosa como cabría esperar. Ya que de entrada los que debían defender a capa y espada las bondades del entorno virtu

    • Anónimo el 20 febrero, 2008 a las 16:00
    • Responder

    Yo también he recibido la carta de telefónica sobre el spam. Siempre he utilizado antivirus, antispyware y firewall en el Windows y siempre he utilizado correo web de yahoo o de gmail así que nunca he utilizado SMTP y además soy bastante precavido. (Soy usuario medio y de lo siguiente no estoy muy seguro de lo que digo pero aún así quiero comentarlo) El otro día decidí probar el correo de gmail con POP3 y SMTP para usar el Outlook (para hacer unas cosas con el PGP). También lo probé con el de yahoo pero no pude enviar ningún correo con yahoo. En esto que me llegó la carta de telefónica y para terminar rápido decidí formatear los discos duros y reinstalar el sistema operativo y los programas. Les escribí a los de nemesys contándoles todo estoy y ya me han contestado. En la respuesta me dicen que ya me habían bloqueado el puerto 25 que debe ser por el que se envían los e-mails con SMTP (recalco que de esto no tengo ni idea) pero que ya me lo han desbloqueado. He buscado en el google para saber si alguien ha tenido un problema parecido con el gmail y la carta de telefónica y solo he encontrado este blog. Como ya he dicho no pude enviar ningún correo SMTP con el correo de yahoo ¿puede ser que me bloquearon el puerto 25 inmediatamente después de yahoo porque el correo SMTP de gmail tuvo algo que ver?

    Agrandeciendo de antemano cualquier comentario. Un saludo

  3. Buenas,

    Por experiencia (que he sufrido en mis carnes) tu IP entra dentro del la lista de SPAM cuando se detectan que está en la lista [b][url=http://cbl.abuseat.org/lookup.cgi]CBL[/url][/b] cuando google encuentra algo raro en el correo, por ejemplo, que te autoenvíes correos con el mismo destinatario y remitente, que pertenezcan a una cuenta de gmail y que el servidor de correo saliente no sea de google. (este es el ejemplo que pude comprobar).

    El problema puede no ser que envíes cientos de mensajes de SPAM, sino que se cumplan unas determinadas reglas a la hora del envío (cómo la que te pongo arriba) y de ahí que entres directamente a la lista negra.

    Mas que formatear yo verficaría que que no tienes ninguna aplicación que te avisa mediante correo y que envíe los mensaje a dónde no debe (por ejemplo, el antivirus para indicar que tienes un virus o algo sospechoso o el emule para decir que ya se ha terminado la descarga).

    Si tienes WiFi verifica que no tienes algún [i]vecino[/i] infectado.

    Para ver si estás [i]limpio[/i] o tu IP no está marcada como sospechosa puedes utilizar el servicio de [url=http://www.kloth.net/services/dnsbl.php][b]KLOTH.NET[/b][/url], en dónde verificarán que no estás dado de alta en ninguna lista. Si apareces en alguna de ellas, visita la página de la lista e introduce tu IP para que la den de baja.

    A triunfar ; )

    Paloke

    PD: Aprovecho para editar el artículo y arreglar algunos enlaces.

    • Rebolo el 20 febrero, 2008 a las 22:06
    • Responder

    Nas,
    En casa de mis padres también enviaron la carta pero era normal el portátil estaba infectado,¿Te acuerda Paloke el Portátil de mí hermano?
    Yo he puesto la IP de mí ADSL/IMAGENIO en KLOTH.NET y aparezco en 3 lista.

    Salu2.-

  4. Buenas,

    Hay varias listas que se aparece «por defecto» y alguna como [url=http://www.dnswl.org/][b]DNSWL[/url][/b] que son listas blancas y algunas que si te han dado de alta ya permaneces hasta que [b]tu[/b] la quites. Pero si apareces en la de CBL es muy probable que tengas algún problema de seguridad en la red o que algún troyano/virus/malware esté campando a sus anchas en el PC.

    Otros sitios dónde verificar la pertenencia a la lista [url=http://www.declude.com/Articles.asp?ID=97][b]Declude[/b][/url] y [url=http://moensted.dk/spam/][b]Dr.Mønsted[/b][/url].

    A triunfar ; )

    Paloke

  5. El otro día, cuando llegué a la moto me encontré con el flyer que ves a continuación. El SPAM ha saltado del ordenador o del buzón de tu casa o a tu puesto de trabajo. Hasta ahora era normal encontrar publicidad de albañilería o de pizza, pero dentro de p

  6. El pasado viernes recibí una llamada del centro Nemesys de telefónica, ya había recibido alguna que otra carta antes debido a un problema de seguridad referido con el envío de SPAM. Ahora, el tema era una vulnerabilidad del APACHE (en su versión 2.0) qu

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.