2- Cómo prohibir conexiones desde ciertos sitios en listas negras?

Imagen de Epe

Una lista negra es un sitio donde se guardan (listan) las IPs o redes que están reconocidamente enviando spam.

Muchas personas se quejan de que pueden generar falsos positivos y es cierto. Es más a veces puede pasar, pero las listas negras son un gran recurso para bloquear a esos spammers persistentes que no se cansan de usar o abusar de una misma IP.

Como recomendación, si estás en una lista negra, no pienses que es el fin del mundo, sencillamente hay que, antes de deslistarte, determinar la causa que provocó que ahi cayeras, eliminarla, y entonces deslistarte.

A mi me ha pasado algunas veces y es porque algunos usuarios piensan que lo que ellos envían no es spam, los otros sí. Es como cuando te llevas un semáforo, no hicistes nada malo. Ahora, que se lo lleve otro cuando tenías la verde.. de hijoeputa palante le dices de todo al pobre que tampoco pensó que era malo.

El spammer es como el preso, qué preso está legítimamente preso? Todos están presos de forma misteriosamente poco clara, no tenían la culpa, otros los pusieron ahi, ellos no hicieron nada.

[b]Qué listas negras usar?[/b]

Sugiero estas tres:

[url]http://www.spamhaus.org[/url]

[url=http://]www.sorbs.net[/url]

[url=http://]www.spamcop.net[/url]

spamhaus es sumamente efectiva y detecta una cantidad inmensa de potenciales spammers.

Ahora, spamcop es buena por una cosa, te permite reportar al spammer.

Acaso no te ha llegado spam de algún honorable diputado? y de algún hotel de quito? y de un instituto para enseñarte a bordar y soldar? y de una empresa que vende camarones al por mayor? Y a mi QUE C.. me importan sus correos promocionales o como les llamen?

Pues bien, con spamcop puedes reportar esos correos y spamcop bloqueará la IP que generó ese correo. Así los proveedores proceden a respetar un poco más a los otros usuarios y sacan al spammer.

[b]Cómo agregarlas?[/b]

Aunque hay varias formas de agregarlas, sugiero hacerlo en el sendmail directamente aunque otra forma es a través del mailscanner.

Agregándolas directamente al sendmail hará que el sendmail rechace hablar con cualquier IP listada.. y esto provocará que los proveedores de internet se vean en problemas al ser bloqueados y tomen acciones contra el spammer inmediatamente.

Editemos [i]/etc/mail/sendmail.mc[/i] y busquemos una linea que diga así:
[code]
FEATURE(delay_checks)dnl
[/code]

Justo [b]debajo[/b] de ésta linea agregamos lo siguiente (sugiero que copies y pegues):
[code]
FEATURE(`dnsbl',`dul.dnsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnl
FEATURE(`dnsbl',`nomail.rhsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnl
FEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/query/bl?ip=+"$')dnl
FEATURE(`dnsbl', `bl.spamcop.net', `554 Rejected - see http://spamcop.net/')dnl
[/code]

Al terminar procedemos a generar el nuevo .cf:
[code]
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
[/code]
Nunca está de más hacer una copia previa del sendmail.cf

Una vez generado, procedemos a reiniciar nuestro sendmail.

[b]Cómo verifico que funcione?[/b]

Mira dentro de [i]/var/log/maillog[/i] por unos minutos, comenzarás a ver mensajes así:
[code]
tail -f /var/log/maillog
.
.
.
.
Feb 7 14:58:46 srv4 sm-acceptingconnections[19271]: l17Jwf3t019271: ruleset=check_rcpt,
arg1=, relay=23.230.adsl.brightview.com [80.189.230.23], reject=554 5.7.1
Rejected - see http://www.spamhaus.org/query/bl?ip=+80.189.230.23
.
.
.
[/code]

En este ejemplo fue bloqueado por spamhaus, ni siquiera se le dió oportunidad de iniciar una sesión para enviar el correo, se le bloqueó.

Algunas estadísticas

Aquí muestro algunas estadísticas de todos los mails capturados por las diferentes listas en esta semana que pasó:

grep -c spamcop maillog.1
1553

grep -c sorbs.net maillog.1
12381

grep -c spamhaus maillog.1
7332

Al menos evité unos 20mil correos que llegaran a mis usuarios. No es un record, pero al menos ayuda a descongestionar el servidor.

Sorbs tuvo buen servicio porque es el primero que tengo en la lista, y por sorbs se bloquean los primeros.. sólo si en sorbs no está se bloquean en spamhaus y únicamente si no están ni en sorbs ni en spamhaus, entonces se bloquean por spamcop. Porque en ese orden lo puse.

Spamcop es buenísimo, sobre todo cuando le ayudamos con reportes.

Comentarios

Ahora no se usa

Imagen de Epe

Ahora no se usa sbl-xbl.spamhaus.org sino: zen.spamhaus.org solo tienen que sustituir adecuadamente donde dice: sbl-xbl y poner: zen


FEATURE(dnsbl, `zen.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/query/bl?ip=+"$')dnl

Spamhaus por alguna razón determinó que zen es mucho más grande que sbl-xbl y por lo tanto sugieren que sólo se use ese (zen).

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 3412402
USA: +1 404 795 0321, España: +34 917617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Ok, gracias... ha, me parece

Imagen de Monkito

Ok, gracias...

ha, me parece que hay un error de tipeo.


FEATURE(`dnsbl',`nomail.rhsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnl
FEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/query/bl?ip=+"$')dnl

en donde dice: dnsbl
o así mismo es?

------------
counter.li.org

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

Mas sitios???

Hola amigos espero me puedan ayudar.... necesito encontrar mas sitios que pueda agregar a mi sendmail...para no recibir mas basura....los posteados anteriormente funcionan bien....gracias!!!!!

Algunos más ... Si los

Imagen de deathUser

Algunos más ...
Si los usas, reporta cuales te funcionaron bien ...

block.blars.org : dnsbl.tqmcube.com : vox.schpider.com : relays.visi.com: \
psbl.surriel.com : t1.dnsbl.net.au : \
relays.ordb.org : sbl.spamhaus.org : \
blackholes.mail-abuse.org : dialup.mail-abuse.org : \
cbl.abuseat.org : dnsbl.ahbl.org : \
spamsources.fabel.dk : list.dsbl.org : \
multihop.dsbl.org : dnsbl.net.au : abuse.rfc-ignorant.org : \
query.bondedsender.org : dnsbl.sorbs.net \
bl.spamcop.net : sbl-xbl.spamhaus.org : \
dnsbl.njabl.org : \
blacklist.spambag.org : \
whois.rfc-ignorant.org : dnsbl.njabl.org: \
hil.habeas.com

bye
:)