[lacnog] Experiencias con Lista UCEPROTECT

Andres Tarallo atarallo en acm.org
Jue Abr 6 17:38:40 -03 2023 

Hola:

Una estrategia que me dio buenos resultados en filtrado de SPAM es utilizar
greylisting[1]. Esto le saca bastante trabajo a filtros de SPAM activos. Se
complementa bien con el uso de DNSBL [2].

No tengo experiencia con el bloqueo del puerto 25, he visto alguna solucion
de correo que lo ofrece por defecto.

Andrés

[1]https://es.wikipedia.org/wiki/Lista_gris
[2] https://es.wikipedia.org/wiki/Lista_negra_basada_en_DNS

El mié, 5 abr 2023 a las 17:26, Jorge Villa vía LACNOG (<lacnog en lacnic.net>)
escribió:

> Hola, buenas tardes
>
>
>
> Lía, gracias por traer este tema. Me parece que es relevante para muchos
> en la comunidad; que tienen directamente que ver con servicios de correo
> electrónico, lo mismo corporativos, que en ISP.
>
>
>
> Cuando uno selecciona alguna lista para protegerse de SPAM/PHISHING, que
> es algo que crece y se diversifica mas cada día; lo que uno busca es
> solucionar el problema inmediato de reducir la llegada de SPAM/PHISHING.
> Esto por supuesto, que no está relacionado con la recepción de esos correos
> en sí; sino que tiene que ver con la facilidad con que nuestros usuarios
> caen en manos de los que generan este tipo de mensajes, nunca con buenas
> intenciones.
>
>
>
> El asunto es que cuando uno selecciona una lista, tendría que buscar el
> balance entre 2 temas: La veracidad y velocidad de actualización de la
> información de la lista y la calidad de los mecanismos de gestión de la
> lista. Una lista mal seleccionada, como termina siendo el caso de esta
> lista que cobra 250 euros por que te saquen de ella, a corto plazo empieza
> a generar una sobrecarga de trabajo, porque obliga a crear listas blancas
> de forma manual para poder hacer las necesarias excepciones, de todos los
> que no pueden pagar 250 euros, pero que necesitan enviarnos correos de
> importancia.
>
>
>
> Douglas, me parece interesante tu experiencia, y en efecto, eso que dices
> puede ser efectivo en determinada medida. Sin embargo, hay demasiado
> phishing entre todo lo que llega no relacionado directamente con correo
> electrónico, y eso reduce la efectividad de filtrar el puerto 25. No sé si
> entendí correctamente tu mensaje; pero definitivamente, LACNIC no tendría
> que involucrarse en nada relacionado con bloquear puertos. Eso queda a
> nivel de los ISP en cada lugar; que son los que brindan servicios a sus
> clientes finales.  En cualquier caso, creo que ese tipo de experiencias
> podrían compartirse mejor en el grupo Anti-abuse de LACNOG, y quizás por
> ahí salen algunas buenas prácticas para compartir en la región.
>
>
>
> Saludos,
>
> Jorge
>
>
>
>
>
>
>
> *De: *LACNOG <lacnog-bounces en lacnic.net> en nombre de Lia Solis <
> lsolis en entelnet.bo>
> *Responder a: *Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net>
> *Fecha: *miércoles, 5 de abril de 2023, 1:01 p. m.
> *Para: *'Latin America and Caribbean Region Network Operators Group' <
> lacnog en lacnic.net>
> *Asunto: *Re: [lacnog] Experiencias con Lista UCEPROTECT
>
>
>
> Gracias por el valioso aporte Douglas ..podríamos abrir otro hilo para el
> tema de bloqueo de puerto 25, he tenido buenas referencias de ello.
>
>
>
> Volviendo al tema de la Lista UCEPROTECT, lo que he podido experimentar es
> que estar presente en esta lista es una estrategia para promover equipos
> antispam, ya que nuestros clientes a sugerencia de la lista, contactan con
> el ISP para solicitar la eliminación, y al ingresar a la página web ofertan
> equipos antispam. Por esta razón, lo que hacemos es solicitar los logs del
> servicio de correo del cliente y no tuvimos ningún caso de bloqueo por que
> el servidor remoto haga uso de dicha lista.
>
>
>
> Me encontré algunos comentarios con los que comparto el criterio:
>
>
>
>    - *Me parece una extorsión y por supuesto un negocio que debería ser
>    ilegal, que para que seas eliminado en menos de 7 días haya que pagar por
>    ello. Igualmente con aparecer en la lista blanca.*
>
>
> http://www.securitybydefault.com/2009/12/el-negocio-de-las-listas-antispam.html
>
>
>
> También veo que una discusion similar existe en RIPE NCC
>
>
>
>    -
>    https://www.ripe.net/participate/mail/forum/anti-abuse-wg/PDEwMDE4MzA4YzIyNWQ2MTMxNjA2NjI4NDQ4ZDZlNjM0QG4wLmx0Pg==
>
>
>
> Trend Micro también opina al respecto:
>
>
> https://success.trendmicro.com/dcx/s/solution/000236583-Emails-being-rejected-by-RBL-UCEPROTECL-in-Hosted-Email-Security-and-Email-Security?language=en_US
>
>
>
> Y pude leer en algún foro que un administrador realizó el pago, y no lo
> eliminaron de la lista.
>
>
>
> Me gustaría encontrar administradores con similar posición, si bien no
> afecta al servicio, no deja de ser molestoso que los usuarios finales
> erróneamente vean a sus proveedores como comprometidos en incidentes de
> Spam.
>
>
>
> Muchas gracias por sus comentarios, estoy segura que éstos serán leídos
> por administradores de correo que se encuentren en situaciones similares
> que involucren la lista mencionada.
>
>
>
> Lia Solis
>
>
>
> *De:* LACNOG [mailto:lacnog-bounces en lacnic.net] *En nombre de *Douglas
> Fischer
> *Enviado el:* miércoles, 5 de abril de 2023 07:34
> *Para:* Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnic.net>
> *Asunto:* Re: [lacnog] Experiencias con Lista UCEPROTECT
>
>
>
> No quiero OWNAR la thread, pero esta conversación me recordó algo sobre lo
> que siempre he tenido curiosidad...
>
> Alrededor de 2008 (si la memoria no me falla) NIC.BR y Cert.BR alentaron
> el bloqueo del puerto 25[1] en Brasil.
>
> Sé que me voy a encontrar con gente que está en contra de la idea, pero
> mis recuerdos de los resultados de las acciones de esa época son muy buenos.
> El volumen de SPAM Spoofed bajo prácticamente a cero naquele momento.
>
> En aquella época yo trabajaba casi exclusivamente en el área de
> infraestructura y redes para entornos de negocios corporativos e no tenía
> contacto con LACNOG en ese momento, por lo que no le di seguimiento a si
> había algo equivalente en otros países de LACNIC.
>
> Mi pregunta sobre esto se deriva del hecho de que los clientes que hemos
> estado atendiendo fuera de Brasil últimamente no tienen ninguna referencia
> de lo que estoy hablando cuando digo
>
> "¿vamos a implementar el bloqueo del puerto 25 para los clientes que no
> ¿No tienes una IP dedicada?".
> Digo eso, y realmente no saben de lo que estoy hablando...
> Luego tengo que hablar sobre el RFC de envío (6409, si no me equivoco) y
> pasar mucho tiempo explicando por qué esto ayudará a que sus prefijos de
> red permanezcan fuera de las listas negras y similares.
>
> ¿Hubo algún movimiento para alentar a LACNIC a bloquear el puerto 25 para
> clientes hogares?
>
>
>
> Em ter., 4 de abr. de 2023 às 19:52, Nicolas Baumgarten <
> nicomail en gmail.com> escreveu:
>
> Hemos tenido problemas en gral con esa lista.
>
> Por un lado, a veces bloquea grandes rangos, porque algun "vecino" es
> spammer y responsabiliza a todo
>
> el bloque porque el ISP responsable no toma medidas.
>
>
>
> Por otro lado el criterio de cobrar por deslistar "mas rapido"  no parece
> muy amigble.
>
>
>
> En general la evitamos.
>
>
>
> Saludos
>
>
>
>
>
> On Tue, Apr 4, 2023 at 6:53 PM Javier Galvez vía LACNOG <lacnog en lacnic.net>
> wrote:
>
> Es un muy buen referente de ataques de spam...
>
>
>
> Si el ip esta listado es porque han estado enviando spam, no se listan
> ip's sin motivo
>
>
>
> Salu2,
>
>
>
> Javier Galvez Funes
>
>
>
> *Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net <lacnog en lacnic.net>> on April 4, 2023 at 17:46 -0300
> wrote:*
>
> Estimada comunidad,
>
>
>
> Abro este hilo de correos para consultarles su experiencia con la lista
> antispam UCEPROTECT, que tiene 3 niveles de clasificación: por IP, por
> subred y por ASN. Los clientes que revisan la lista y encuentran su
> dirección IP solicitan las gestiones del ISP para eliminarse de la misma,
> sin embargo no he tenido ningún reporte en el que la lista haya sido
> causante de bloqueos efectivos. Lo particular es que UCEPROTECT solicita
> 250 Euros para la eliminación.
>
>
>
> Muchas gracias por sus comentarios.
>
> Saludos
>
> Lia Solis
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
>
>
> --
>
> Douglas Fernando Fischer
> Engº de Controle e Automação
>
> _______________________________________________ LACNOG mailing list
> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230406/691078a2/attachment-0001.htm>

Más información sobre la lista de distribución LACNOG