(ES) Filtros anti-SPAM

Owned by Former user (Deleted)
Last updated: nov 15, 2018
7 min read

El "SPAM"

Como es sabido, los envíos masivos de mensajes de propaganda no solicitada (el "correo basura" o "SPAM") constituyen una de las molestias más graves que han de sufrir los usuarios de correo eléctronico en Internet.

En un intento de limitar el impacto de esta plaga, los servidores de correo de la Universidad analizan mediante varios filtros todos los mensajes antes de entregarlos. Estos filtros tratan de detectar y marcar automáticamente los mensajes que estiman pueden ser "SPAM".

Otros filtros, presentes también en los servidores pero no accesibles a los usuarios, detectan comportamientos anómalos de los servidores remitentes y rechazan las entregas sospechosas.

Filtros anti-propaganda (SPAM) para usuarios de la UV

Filtro por contenido

El primero de los filtros anti-spam es un "filtro por contenido" (un filtro que estudia el contenido de los mensajes). Se trata del "Spamassassin".

  • El Spamassasin

El Spamassasin es un filtro semi-inteligente que aplica toda una serie de reglas -de inteligencia artificial- para decidir si un mensaje es o no un mensaje indeseado, con propaganda no solicitada.

  • ¿Qué hace el Spamassasin?

El Spamassasin es un filtro semi-inteligente que aplica toda una serie de reglas -de inteligencia artificial- para decidir si un mensaje es o no un mensaje indeseado, con propaganda no solicitada.

  • ¿Qué hace el Spamassasin?

Si decide que un mensaje es un "spam", el spamassasin añade dos cabeceras ( "X-Spam-Status:" y "X-Spam-Level:") al mensaje. Ejemplo:

X-Spam-Status: LOW ; 63
X-Spam-Level: xxxxxx+++

Estas cabeceras normalmente no son visibles por los lectores de correo, pero pueden utilizarse en los filtros de correo definibles por el usuario. El usuario puede entonces decidir qué hacer con el mensaje.

Las cabeceras contienen además una "puntuación" (número de "x" en el texto de "X-Spam-Level:") que califica el mensaje como spam con mayor o menor seguridad según estima el spamassasin.

Por otro lado, para que la calificación como "spam" sea visible claramente por el usuario, el spamassasin modifica el "asunto" del mensaje, poniéndole al principio la etiqueta "[SPAM?]".

No usar el "[SPAM?]" del asunto como objeto de los filtros, pues puede confundirlos.

  • ¿Es eficaz el Spamassasin?

El filtro no es eficaz al 100%, y tenía un alto porcentaje de aciertos (2003) cuando se instaló. Actualmente su eficacia ha descendido en gran manera debido a que los spammers han "adaptado" sus mensajes para que sea muy difícil detectarlos con este tipo de filtros. Aún así, el filtro es eficaz (actualmente alrededor del 30% de aciertos - junio 2005) y dá muy pocos "falsos positivos" (es extremadamente raro que califique de spam un mensaje que no lo es). Sigue detectando mensajes de spam que no son detectados por los otros filtros, por lo que sigue siendo recomendable tenerlo activado.

  • ¿Porqué el spamassasin me califica este mensaje como "spam"?

Puedes pedirle al Spamassasin que analice un mensaje concreto y te explique (en inglés) sus razones.

El formulario solicita el texto del mensaje completo con todas las cabeceras. Para ello, lo más sencillo es utilizar Postman. Abrir el mensaje y pulsar en el icono de volcar (una flecha roja hacia abajo que aparece en la cabecera "fecha"). "Cortar y pegar" en su totalidad el texto obtenido dentro del formulario del comprobador y pulsar "¡comprobar!".

Filtro por lista negra (RBL)

Existen en Internet listas que registran los ordenadores que han sido utilizados muy recientemente para generar spam. Otras registran ordenadores que tienen el servicio de correo mal configurados y son muy suceptibles de ser explotados por spammers.

Estas "listas negras" son mantenidas por multitud de entidades, siendo incluso algunas de pago, y son utilizadas habitualmente por la gran mayoría de servidores de correo para calificar como "probable spam" todo aquello que es emitido por los ordenadores presentes en las listas.

  • ¿Que hace el filtro por lista negra?

El filtro por lista negra averigua, mirando en las cabeceras de los mensajes, quién es el ordenador que ha emitido el mensaje. Si este ordenador está registrado en alguna de las listas negras (actualmente cuatro de ellas) que consulta, lo marca como "posible spam" añadiendo una cabecera "X-RBL-Warning" por cada una de las listas negras en las que se halle el mensaje.

En la cabecera añadida se indica qué lista es la que ha producido el aviso y el ordenador (su número IP) sospechoso. Ejemplo:

X-RBL-Warning: Warning: (211.240.40.237) listed as open relay by
sbl-xbl.spamhaus.org - checked with rbl-milter

  • ¿Es eficaz el filtro por lista negra?

El filtro por lista negra es extremadamente eficaz. Filtra actualmente (junio 2005) del orden del 90% o más del spam que recibimos.

  • Un amigo me ha enviado un mensaje y ha sido filtrado por RBL...

Comunícaselo enseguida a tu corresponsal, indicándole en qué lista negra (indicada en la cabecera X-RBL-Warning) está su servidor. Sus administradores de correo deberán tomar las medidas inmediatas necesarias para asegurarse de que no emitirán (ni aún accidentalmente, por infección, etc...) más propaganda indeseada y luego utilizarán los formularios de la lista negra para darse de baja de la misma (o esperar unos días a ser dados de baja automáticamente).

Activación del filtrado

El usuario puede decidir redireccionar los mensajes de spam a otro buzón distinto del de entrada (para revisarlos posteriormente), o simplemente descartarlos. Para ello, basta definir unos filtros de correo en el servidor utilizando los mecanismos habituales para ello: FiltrosDeCorreo.

Observar que nunca se debe decidir "rechazar" los mensajes de spam, pues lo usual (99% de los casos) es que el remite sea falso (dirección inexistente o de alguien que no tiene nada que ver) y lo único que se consigue es saturar aún más los servidores y, lo que es peor, molestar a personas inocentes.

Para facilitar la tarea de definir los filtros anti-spam, se han añadido dos botones al formulario de definición de filtros, uno para crear automáticamene el filtro por contenido y otro para crear automáticamente el filtro por lista negra.

  • Pasos para activar el filtro por contenido
    • Entrar en correo con usuario y contraseña.
    • Pulsar 'Configuracion'
    • Pulsar 'Filtros' en el apartado 'Correo'
    • En 'Crear filtro Anti-Spam predefinido:' pulsar en "Por contenido"
    • Eso hará que aquellos mensajes calificados con al menos un nivel de SPAM 4 (xxxx) vayan a un buzón del servidor llamado SPAM. Este buzón es accesible como un buzón remoto más desde el Postman o cualquier otro programa cliente de correo (IMAP).
    • En caso de que nuestra confianza en el Spamassasin sea muy elevada, podemos eliminar los mensajes en lugar de depositarlos en ese buzón. Esto se hace seleccionando el filtro "antispam", pulsando 'Modificar' y seleccionando 'Borrar' en lugar de 'Mover mensajes a'.
    • Pulsar 'Guardar'.
  • Pasos para activar el filtro por lista negra
    • Para activar el filtro por lista negra, seguir exactamente los mismos pasos que para el filtro por contenido, pero pulsando en 'Crear filtro Anti-Spam predefinido' pulsar "Por lista negra".
    • Para modificarlo, modificar "antispam_rbl".

Filtros en el servidor

Otros filtros contra el spam están configurados en el propio servidor y no se pueden activar/desactivar a voluntad del usuario. Los más importantes son:

  • Filtro por listas grises

Nota: El filtro por listas grises ha sido desactivado en febrero 2014, pues ya no es efectivo.

Este filtro es el que más puede afectar a los usuarios, después de los filtros por contenido y listas negras.

El filtro por listas grises rechaza sistemáticamente todos los mensajes que le llegan y sólo los admite cuando, pasado un cierto tiempo (5 min.), el servidor emisor lo reintenta con el mismo remitente y destinatario.

Todo servidor que cumple con los estándares debe efectuar los reintentos, pero la mayoría de los programas y virus de spam no lo hacen (aún). Ello permite descartar los servidores "spameadores" y rechazar sus mensajes. Este sistema ha resultado ser extremadamente efectivo.

El filtro por listas grises permite hoy (enero 2008) descartar casi el 70-80% de los mensajes de spam.

Pero el filtro por listas grises provoca un retraso de los correos. El retraso depende del tiempo que tarde el servidor remitente en efectuar los reintentos. Típicamente cabe esperar unos 15 a 30 minutos, pero el retraso puede llegar a ser de varias horas. Salvo en algún caso de configuración incorrecta o poco usual de los servidores del remitente, el filtro por listas grises NO provoca pérdida de correos.

El filtro por listas grises mantiene una lista blanca automática, de manera que no retrasa en absoluto los mensajes cuando ya sabe que el par remitente-destinatario es válido. Recuerda estos pares durante más de un mes, por lo que los usuarios no deben notar retrasos cuando comunican con corresponsales habituales.

También se "desbloquea" el filtro por listas grises cuando un remitente de la universidad envía a un destinatario externo. Sucesivas respuestas no serán retrasadas.

Filtro de flujo por IP

El filtro de flujo detiene los intentos de entregar en nuestros servidores un excesivo flujo de mensajes. Deniega el acceso durante varios minutos a todo aquel que intente enviar más de XX (p.e. 110) mensajes o haga más de XX (p.e. 20) conexiones al servidor en un período de 5 minutos. Este filtro únicamente autoriza a algunos servidores conocidos a sobrepasar estos límites. Las estadísticas diarias del filtro de flujo se pueden consultar en EstadisticasCriba.

Filtro de flujo por remitente

El filtro de flujo por remitente bloquea a todo remitente que envíá más de 400 mensajes en 24h. Se entiende por remitente un usuario (la conexión SMTP es autenticada) o el valor de la cabecera "From:" de los mensajes.

El filtro se desbloquea pasadas 24h sin ningún nuevo intento de enviar. ¡Todo nuevo intento alarga 24h más el bloqueo!.

Si se te bloquea el correo por el filtro de flujo por remitente ¡asegúrate de que no tienes activo ningún programa de correo que reintenta automáticamente los envíos pendientes!. En general, asegúrate de no tener envíos pendientes.

Filtro de dominios válidos

Sólo unos pocos dominios @xxx.uv.es están registrados como dominios (servidores) de correo válidos para recibir mensajes. Para instalar un nuevo servidor de correo es necesario, pues, contactar con el SIUV para registrarlo.

Es decir, si un usuario instala un PC con un servidor SMTP (muy usual en Linux), no debe esperar poder recibir mensajes con él. En los PCs individuales se presupone que se utilizarán clientes de correo (Thunderbird, pine, Mail, Outlook, ...), no servidores (Sendmail, Postfix, Exchange,...).

Otros filtros

Aparte de los arriba mencionados, otros filtros activos contra el spam son:

  • El filtro "toloc" que evita que entren en nuestra red mensajes para usuarios no existentes.
Rev:2018 / 06
Lang.

+Info

El SIUV respon

Form.:

SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA