[lacnog] Experiencias con Lista UCEPROTECT
Jorge Villa
villa en reduniv.edu.cu
Mie Abr 5 17:25:48 -03 2023
Hola, buenas tardes
Lía, gracias por traer este tema. Me parece que es relevante para muchos en la comunidad; que tienen directamente que ver con servicios de correo electrónico, lo mismo corporativos, que en ISP.
Cuando uno selecciona alguna lista para protegerse de SPAM/PHISHING, que es algo que crece y se diversifica mas cada día; lo que uno busca es solucionar el problema inmediato de reducir la llegada de SPAM/PHISHING. Esto por supuesto, que no está relacionado con la recepción de esos correos en sí; sino que tiene que ver con la facilidad con que nuestros usuarios caen en manos de los que generan este tipo de mensajes, nunca con buenas intenciones.
El asunto es que cuando uno selecciona una lista, tendría que buscar el balance entre 2 temas: La veracidad y velocidad de actualización de la información de la lista y la calidad de los mecanismos de gestión de la lista. Una lista mal seleccionada, como termina siendo el caso de esta lista que cobra 250 euros por que te saquen de ella, a corto plazo empieza a generar una sobrecarga de trabajo, porque obliga a crear listas blancas de forma manual para poder hacer las necesarias excepciones, de todos los que no pueden pagar 250 euros, pero que necesitan enviarnos correos de importancia.
Douglas, me parece interesante tu experiencia, y en efecto, eso que dices puede ser efectivo en determinada medida. Sin embargo, hay demasiado phishing entre todo lo que llega no relacionado directamente con correo electrónico, y eso reduce la efectividad de filtrar el puerto 25. No sé si entendí correctamente tu mensaje; pero definitivamente, LACNIC no tendría que involucrarse en nada relacionado con bloquear puertos. Eso queda a nivel de los ISP en cada lugar; que son los que brindan servicios a sus clientes finales. En cualquier caso, creo que ese tipo de experiencias podrían compartirse mejor en el grupo Anti-abuse de LACNOG, y quizás por ahí salen algunas buenas prácticas para compartir en la región.
Saludos,
Jorge
De: LACNOG <lacnog-bounces en lacnic.net> en nombre de Lia Solis <lsolis en entelnet.bo>
Responder a: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Fecha: miércoles, 5 de abril de 2023, 1:01 p. m.
Para: 'Latin America and Caribbean Region Network Operators Group' <lacnog en lacnic.net>
Asunto: Re: [lacnog] Experiencias con Lista UCEPROTECT
Gracias por el valioso aporte Douglas ..podríamos abrir otro hilo para el tema de bloqueo de puerto 25, he tenido buenas referencias de ello.
Volviendo al tema de la Lista UCEPROTECT, lo que he podido experimentar es que estar presente en esta lista es una estrategia para promover equipos antispam, ya que nuestros clientes a sugerencia de la lista, contactan con el ISP para solicitar la eliminación, y al ingresar a la página web ofertan equipos antispam. Por esta razón, lo que hacemos es solicitar los logs del servicio de correo del cliente y no tuvimos ningún caso de bloqueo por que el servidor remoto haga uso de dicha lista.
Me encontré algunos comentarios con los que comparto el criterio:
Me parece una extorsión y por supuesto un negocio que debería ser ilegal, que para que seas eliminado en menos de 7 días haya que pagar por ello. Igualmente con aparecer en la lista blanca.
http://www.securitybydefault.com/2009/12/el-negocio-de-las-listas-antispam.html
También veo que una discusion similar existe en RIPE NCC
https://www.ripe.net/participate/mail/forum/anti-abuse-wg/PDEwMDE4MzA4YzIyNWQ2MTMxNjA2NjI4NDQ4ZDZlNjM0QG4wLmx0Pg==
Trend Micro también opina al respecto:
https://success.trendmicro.com/dcx/s/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security?language=en_US
Y pude leer en algún foro que un administrador realizó el pago, y no lo eliminaron de la lista.
Me gustaría encontrar administradores con similar posición, si bien no afecta al servicio, no deja de ser molestoso que los usuarios finales erróneamente vean a sus proveedores como comprometidos en incidentes de Spam.
Muchas gracias por sus comentarios, estoy segura que éstos serán leídos por administradores de correo que se encuentren en situaciones similares que involucren la lista mencionada.
Lia Solis
De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Douglas Fischer
Enviado el: miércoles, 5 de abril de 2023 07:34
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] Experiencias con Lista UCEPROTECT
No quiero OWNAR la thread, pero esta conversación me recordó algo sobre lo que siempre he tenido curiosidad...
Alrededor de 2008 (si la memoria no me falla) NIC.BR y Cert.BR alentaron el bloqueo del puerto 25[1] en Brasil.
Sé que me voy a encontrar con gente que está en contra de la idea, pero mis recuerdos de los resultados de las acciones de esa época son muy buenos.
El volumen de SPAM Spoofed bajo prácticamente a cero naquele momento.
En aquella época yo trabajaba casi exclusivamente en el área de infraestructura y redes para entornos de negocios corporativos e no tenía contacto con LACNOG en ese momento, por lo que no le di seguimiento a si había algo equivalente en otros países de LACNIC.
Mi pregunta sobre esto se deriva del hecho de que los clientes que hemos estado atendiendo fuera de Brasil últimamente no tienen ninguna referencia de lo que estoy hablando cuando digo
"¿vamos a implementar el bloqueo del puerto 25 para los clientes que no ¿No tienes una IP dedicada?".
Digo eso, y realmente no saben de lo que estoy hablando...
Luego tengo que hablar sobre el RFC de envío (6409, si no me equivoco) y pasar mucho tiempo explicando por qué esto ayudará a que sus prefijos de red permanezcan fuera de las listas negras y similares.
¿Hubo algún movimiento para alentar a LACNIC a bloquear el puerto 25 para clientes hogares?
Em ter., 4 de abr. de 2023 às 19:52, Nicolas Baumgarten <nicomail en gmail.com> escreveu:
Hemos tenido problemas en gral con esa lista.
Por un lado, a veces bloquea grandes rangos, porque algun "vecino" es spammer y responsabiliza a todo
el bloque porque el ISP responsable no toma medidas.
Por otro lado el criterio de cobrar por deslistar "mas rapido" no parece muy amigble.
En general la evitamos.
Saludos
On Tue, Apr 4, 2023 at 6:53 PM Javier Galvez vía LACNOG <lacnog en lacnic.net> wrote:
Es un muy buen referente de ataques de spam...
Si el ip esta listado es porque han estado enviando spam, no se listan ip's sin motivo
Salu2,
Javier Galvez Funes
Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net> on April 4, 2023 at 17:46 -0300 wrote:
Estimada comunidad,
Abro este hilo de correos para consultarles su experiencia con la lista antispam UCEPROTECT, que tiene 3 niveles de clasificación: por IP, por subred y por ASN. Los clientes que revisan la lista y encuentran su dirección IP solicitan las gestiones del ISP para eliminarse de la misma, sin embargo no he tenido ningún reporte en el que la lista haya sido causante de bloqueos efectivos. Lo particular es que UCEPROTECT solicita 250 Euros para la eliminación.
Muchas gracias por sus comentarios.
Saludos
Lia Solis
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
--
Douglas Fernando Fischer
Engº de Controle e Automação
_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230405/ca8c94e4/attachment-0001.htm>
Más información sobre la lista de distribución LACNOG