RedIRIS - Aspectos técnicos del Servicio IRISRBL (Reputation Block List)

Aspectos técnicos del Servicio IRISRBL (Reputation Block List)

Cómo utilizar el Servicio IRISRBL

Actualmente todos los programas de relay de correo permiten configurar listas negras (DNSBLs) en los diferentes niveles del protocolo SMTP, rechazando cualquier intento de transferencia SMTP desde las IP incluidas en dichas listas. También es posible integrar IRISRBL en otros niveles de las defensa anti-spam como son: Greylisting o Spamassassin y deberá usar su documentación para su configuración.

Si eres una institución conectada a RedIRIS y deseas utilizar IRISRBL, sólo necesitarás leer las Condiciones de Uso del Servicio IRISRBL, decidir cual de las dos zonas utilizar, comunicarlo a RedIRIS, esperar confirmación y configurar el relay de correo de la forma habitual con la zona IRISRBL. Se recomienda que en la configuración se coloque un mensaje de error de este estilo (ejemplo para postfix):

strong.dnsbl.rediris.es 550 Service unavailablei; IP 1.2.3.4 has been blocked using RedIRIS Reputation Service (IRISRBL). You have to send a email to postmaster@su-institucion.es.+info http://www.rediris.es/irisrbl/dnsbl.html

Es muy importante que donde donde pone su-institucion.es inserte el dominio de su institución en donde se localiza el buzón postmaster@su-institucion.es. Este punto de contacto, "postmaster@su-institucion.es", es imprescindible para poder actuar en caso que haya que eliminar alguna IP debido a falsos positivos. Por supuesto es necesario que dicho buzón nunca nunca sea filtrado. También es posible insertar un url con un formulario para que el implicado se ponga en contacto con el postmaster (veáse el ejemplo de formulario en RedIRIS).

Otra opción de utilizar el Servicio IRISRBL es descargarse las zonas IRISRBL de RedIRIS y utilizarlas a nivel local.

Descripción técnica

Presentación del Servicio IRISRBL [pdf - 8G] hecha en las Jornadas de Oviedo en Noviembre de 2007

RedIRIS recoge las diferentes fuentes de datos que componen IRISRBL (Reputation Block List) de distintas formas:

CBL es sincronizada cada 30 minutos
SORBS-DUL es sincronizada cada 60 minutos
ListasBlancas son cargadas cada 10 minutos
Spamtraps son cargados cada 15 minutos

Todas estas zonas son agregadas y servidas en dos zonas DNS. Los procesos de actualización de dichas zonas son completamente transparentes a las consultas de los clientes por lo que el servicio seguirá respondiendo sin interrupción.

Control de Acceso

Para garantizar los recursos para la Comunidad RedIRIS, las zonas servidas están configuradas para responder solo a consultas desde los relays de correo de las instituciones que lo soliciten. Los resolvers de las instituciones RedIRIS serán chequeado para asegurar que no reenvían solicitudes desde fuera de RedIRIS.

Transferencias de zonas

El Servicio IRISRBL(Reputation Block List) ademas de permitir las consultas vía DNS. Permite que una institución disponga de su propia copia de la base de datos IRISRBL para consultas locales. Si alguien estuviera interesado en estas zonas se debe poner en contacto con RedIRIS.

Disponibilidad

RedIRIS ha dispuesto los recursos necesario para ofrecer el servicio en las mejores garantías. Cuando se diseño el servicio desconocíamos el número de Instituciones interesadas así como el tráfico de consultas que puede llegar a alcanzar. En caso necesario RedIRIS aumentará los recursos para garantizar el servicio.

Composición del Servicio IRISRBL

IRISRBL es un producto generado en RedIRIS y que contiene alrededor de 15 millones de IPs generadas en tiempo real y construidas agregando las siguientes fuentes de datos:

CBL (Composite Block List). Es una lista que recoge IP de extensas redes de spamtraps. Ayuda a bloquear correo de IPs comprometidas (open Proxy Server, virus, troyanos) que son actualmente la principal fuente del spam ilegal. IRISRBL la sincroniza cada 30 minutos. Es muy similar a la zona XBL de spamhaus
En la lista de reputación IRIS-BL el código de respuesta es 127.0.0.1
+info
DUL-SORBS. Rangos dinámicos de IPs de proveedores cuyos responsables consideran que no deben enviar correo electrónico directamente. IRISRBL la sincroniza diariamente. Es similar a la zona PBL de spamhaus.
En la lista de reputación IRIS-BL el código de respuesta es 127.0.0.14 +info
VIRBL. Es una pequeña lista de IPs emisoras de virus. IRISRBL la sincroniza cada 30 minutos. En la lista de reputación IRIS-BL el código de respuesta es 127.0.0.3 +info
SpamtrapsRedIRIS. Lista generada por los propios sistemas de spamtraps de RedIRIS. Estos sistemas recogen IPs que envían 2 mensajes de spam en 1 hora y son eliminadas después de 32 dias. IRISRBL la sincroniza en tiempo real.
En la lista de reputación IRIS-BL el código de respuesta es 127.0.0.11
ListaBlanca de RedIRIS. Lista de IPs "buenas" que son excluidas en caso que llegarán a parecer en el listas global de IRISRBL. Impide que las IPs de la ListaBlanca de RedIRIS sean incluidas en IRISRBL.
+info
Rangos RedIRIS. Rangos IPs asignados a las Instituciones conectadas a RedIRIS. Ninguna IP de los ASN de RedIRIS serán incluidas en la zona IRISRBL.

Todas estas fuentes de datos son agrupadas y mezcladas en dos zonas:

weak.dnsbl.rediris.es zona con un política suave y que contiene las siguientes fuentes de datos:

CBL + VIRBL - ListasBlancasRedIRIS - RangosRedIRIS

strong.dnsbl.rediris.es zona con un política fuerte que contiene las IPs contenidas en la zona weak.dnsbl.rediris.es a las que se añade dos fuentes de datos: DUL-SORBS y SpamtrapsRedIRIS con lo que esta zona quedaría compuesta por:

CBL + VIRBL - ListasBlancasRedIRIS - RangosRedIRIS + DUL-SORBS + SpamtrapsRedIRIS

Si desea conocer si una IPv4 a.b.c.d está incluida en la lista de reputación IRIS-BL hay que buscar el registro A (address) del dominio d.c.b.a.strong.dnsbl.rediris.es. Si la búsqueda es exitosa en IRIS-BL generará un código de retorno

127.0.0.1 para las IP de CBL
127.0.0.3 para las IP de VIRBL
127.0.0.11 paras las IP de Spamtraps
127.0.0.14 para las IP De SORBS-DUL

Instalación de IRISRBL para los diferentes productos

Aquí se expone un resumen de la configuración de IRISRBL en los diferentes tipos de servidores de correo que existen en la Comunidad. Es necesario que se revise la documentación de cada producto para la correcta configuración de IRISRBL. Si considera que en estas referencias hay algún error póngase en contacto con RedIRIS para su rectificación.

Nota: Si IRISRBL es la única lista negra (DNSbl) que tiene configurada no es necesario configurar chequeos en ListaBlanca de RedIRIS. Solo en el caso de utilizar otras DNSbl si es recomendable hacer uso de dicha ListaBlanca.

Exchange 2003

Exchange 2003 soporta DNSBLs sin software adicional a través de la configuración llamada por Microsoft llamadas "connection filtering".
Para usar la zona strong debe configurar dos filtros de conexión con:

Display name 'IRISRBL'
DNS Suffix of Provider 'strong.dnsbl.rediris.es' 
Custom Error Message '$0 in strong.dnsbl.rediris.es has been blocked using RedIRIS Reputation Service,IRISRBL. If you had problems delivering mail, contact postmaster@su-institucion.es'
+info

Exim

En la sección ACL del fichero de configuración hay una referencia para 'acl_check_rcpt' la cual incluye DNSBL como sigue:

begin acl:
# (possibly other ACLs)
acl_check_rcpt:
# (other rules as documented)
deny message   = $sender_host_address in $dnslist_domain\n\
          $dnslist_text
     dnslists  = strong.dnsbl.rediris.es 
# (rules for other DNSBLs, may be deny or warn)
accept
# (other ACLs)

+info. En http://www.exim.org/exim-pdf-current/doc/spec.pdf hay referencias a la ACLs.

Postfix

EN la version 2.x la configuracion normal es incluir DNSBL en la directiva 'smtpd_recipient_restrictions' del fichero main.cf poniendo algo como esto: In version 2.x the normal configuration is to include DNSBL tests in the 'smtpd_recipient_restrictions' list of the main configuration file:

default_rbl_reply = $client_address in $rbl_domain
smtpd_recipient_restrictions =
     # Habilitar listablanca para postmaster: 
     check_recipient_access hash:/etc/postfix/recipient_checks,
     # (other restrictions as required)
      reject_rbl_client strong.dnsbl.rediris.es,
     # (other restrictions as required)
     permit

+info.

qmail

Para qmail no hay directivas DNSBL poer dispone de programas asociadas como tcpserver y rblsmtpd que pueden gestionar las conexión SMTP para qmail. Toda la configuración es :

rblsmtpd -r strong.dnsbl.rediris.es qmail-smtpd

Hay opciones adicionales y scripts para arrancar los elementos de forma secuencial. rblsmtpd hace consultas de registros TXT en la zona strong en lugar de hacerlo por registros A.

+info. Hay un tutorial en http://www.thedjbway.org/djbrbl/rblsmtpd.html.

sendmail

DNSBL es una 'FEATUREs' en sendmail.



FEATURE(`dnsbl', `strong.dnsbl.rediris.est',
     `$&{client_addr} "  in strong.dnsbl.rediris.es has been blocked using RedIRIS Reputation Service,IRISRBL. If you had problems delivering mail, contact postmaster@su-institucion.es'"')

+info Appliances

En muchos appliances (IRONPORT, SPAMINA etc) es posible incluir el uso de la lista IRISRBL. Hay demasiados modelos para mantener una lista.

Spamassassin

Bastará modificar el plugin URIDNSBL para chquear URIs contra la zona IRISRBL:

# Use SBL from IRISRBL  zone:
uridnsbl        URIBL_SBL   strong.dnsbl.rediris.es.       TXT

+info

Referencias

RFC 2821 Simple Mail Transfer Protocol, the standard for Internet e‑mail exchange
http://ietf.org/rfc/rfc2821.txt
RFC 3463 Enhanced Mail System Status Codes, which may be returned in response to attempted e-mail actions
http://ietf.org/rfc/rfc3463.txt
RFC 1034, RFC 1035 and many later RFCs specify how the Domain Name System (DNS) operates
http://ietf.org/rfc/rfc1034.txt
http://ietf.org/rfc/rfc1035.txt
BIND, a widely deployed nameserver product
http://www.isc.org/sw/bind/

Descripción técnica
Composicion de IRISRBL
Instalación de IRISRBL
Referencias