DNSBL: ¿qué son las Domain Name System Based Blackhole Lists?

Incluso en tiempos de Facebook, WhatsApp y otras he­rra­mie­n­tas de co­mu­ni­ca­ción, el correo ele­c­tró­ni­co sigue siendo básico. Para un uso seguro y de­s­preo­cu­pa­do de este formato de me­n­sa­je­ría, es im­po­r­ta­n­te saber cómo detectar y evitar el correo spam. La pre­cau­ción sigue siendo muy re­co­me­n­da­ble aún décadas después de que se enviaran los primeros mensajes de spam.

Hoy en día, algunos me­ca­ni­s­mos de defensa muy potentes, como las populares listas grises, consiguen detectar un gran número de correos molestos o incluso dañinos. Un elemento básico para ello son las de­no­mi­na­das Domain Name System‑Based Blackhole Lists (DNSBL). Se trata de listas de exclusión (también blocklist) de re­mi­te­n­tes de origen so­s­pe­cho­so a las que se puede acceder en tiempo real. A co­n­ti­nua­ción, acla­ra­re­mos qué es realmente una DNS-based Blackhole List, cómo funciona en detalle y qué ventajas y de­s­ve­n­ta­jas conlleva.

Una Domain Name System Based Blackhole List, abreviado como DNS-based Blackhole List o DNSBL, es un servicio que permite a los se­r­vi­do­res de correo ele­c­tró­ni­co comprobar de forma sencilla y rápida el potencial de spam de ciertas di­re­c­cio­nes IP. Para ello, una DNSBL dispone de un listado de di­re­c­cio­nes re­mi­te­n­tes de spam que el servidor de correo puede in­s­pe­c­cio­nar en tiempo real con una consulta DNS.

Gran parte del software del servidor puede co­n­fi­gu­rar­se de forma que se consulten al mismo tiempo varias DNS-based Blackhole Lists. De este modo, se puede ofrecer al usuario la mejor pro­te­c­ción posible contra el correo basura. Si la consulta de una DNSBL da lugar a un resultado positivo, el mensaje se asigna a la re­s­pe­c­ti­va dirección de correo ele­c­tró­ni­co bloqueada o se marca como mensaje spam.

Junto a la DNSBL, se suele oír hablar de la Real-time Blackhole List (RBL). A veces estos dos términos se utilizan como sinónimos, aunque no sea del todo correcto. Las Real-time Blackhole Lists son solo un tipo de DNSBL, aunque es cierto que son un tipo muy im­po­r­ta­n­te: en 1997, se convirtió en la primera DNS-based Blackhole List oficial como parte de la ini­cia­ti­va antispam Mail Abuse Pre­ve­n­tion Systems (MAPS).

En un principio, el in­fo­r­má­ti­co detrás de las RBL, Paul Vixie, publicó la lista de exclusión de spam no como DNSBL, sino como un BGP-Feed (Border Gateway Protocol). El feed contenía un listado de di­re­c­cio­nes de spam que se tra­n­s­mi­tía a los rúteres de los abonados (pri­n­ci­pa­l­me­n­te ope­ra­do­res de red) a través del protocolo BGP. Eric Ziegast, un de­sa­rro­lla­dor que pa­r­ti­ci­pa­ba en el proyecto MAPS con Vixie, inició poco después el cambio a la tra­n­s­mi­sión basada en DNS, siendo esta aún más eficaz.

Una consulta de DNSBL requiere tres elementos:

• Un dominio bajo el cual se aloje la Domain Name System‑based Blackhole List
• Un servidor de nombres para este dominio (para la re­so­lu­ción de di­re­c­cio­nes)
• Una lista de di­re­c­cio­nes IP di­s­po­ni­bles (a través de una consulta DNS)

Sin duda, la tarea más difícil en la gestión de una DNSBL es la co­n­s­tru­c­ción de la lista. Los ope­ra­do­res deben de­sa­rro­llar una es­tra­te­gia clara de lo que será el servicio y seguirla a largo plazo para mantener la confianza de los usuarios. Las di­re­c­tri­ces (políticas) es­pe­cí­fi­cas, hechas públicas, pro­po­r­cio­nan in­fo­r­ma­ción sobre qué tipo de listado pre­se­n­ta­rá la DNSBL y cómo se ge­s­tio­na­rán los tres puntos me­n­cio­na­dos: objetivos, fuente(s) y vida útil de las entradas.

En los se­r­vi­do­res de correo que han se­le­c­cio­na­do una DNS-based Blackhole List para la co­m­pro­ba­ción de spam, este servicio funciona de forma bastante sencilla:

1. Se invierte el orden de los octetos de la dirección IP del remitente a comprobar, por ejemplo, la dirección 192.168.11.12 se co­n­ve­r­ti­ría en 12.11.168.192.
2. Se añade el nombre de dominio de la DNSBL: 12.11.168.192.dnsbl.ejemplo.net.
3. En el servidor de nombres de la blocklist se busca si hay un registro A que coincida con esta dirección compuesta. En caso afi­r­ma­ti­vo, el servidor de correo recibe una dirección de vuelta, que al mismo tiempo indica que el cliente está en la lista de exclusión. Si la dirección no aparece, se genera el código “NXDOMAIN”.
4. Si aparece una IP en la DNSBL, el servidor de correo puede buscar op­cio­na­l­me­n­te el nombre como una entrada de texto (registro TXT). A menudo es posible averiguar la razón por la que el cliente aparece en la lista.

El uso más popular y antiguo de las Domain Name System‑based Blackhole Lists es su función como base de los filtros de spam de los se­r­vi­do­res de correo ele­c­tró­ni­co. Sin embargo, estas listas también se utilizan en otros softwares para otros fines:

Software de análisis de spam basado en reglas. Para una eva­lua­ción más compleja de un conjunto más amplio de DNSBL, se puede utilizar un software antispam basado en reglas como Spa­ma­s­sa­s­sin. Este software utiliza una regla separada para cada DNS-based Blackhole List, que, combinada con otras reglas, puede uti­li­zar­se al evaluar un mensaje entrante. De este modo, los correos no se cla­si­fi­can de forma ge­ne­ra­li­za­da por estar en una DNSBL, sino que solo acaban en la carpeta de spam como resultado de los criterios es­pe­ci­fi­ca­dos. Sin embargo, de esta forma el proceso de captura de nuevos mensajes puede llevar más tiempo.

Co­m­bi­na­ción con otros tipos de listas. Una de las tareas más im­po­r­ta­n­tes en la gestión de una Domain Name System‑based Blackhole List es su ma­n­te­ni­mie­n­to. De lo contrario, si las entradas no están ac­tua­li­za­das, los mensajes acabarán por error en la carpeta de spam. Para evitarlo, algunos filtros utilizan co­m­bi­na­cio­nes con otros tipos de listas, como las listas de pe­r­mi­ti­dos o las listas de aprobados (“whi­te­li­sts”). De­pe­n­die­n­do de la he­rra­mie­n­ta y la co­n­fi­gu­ra­ción, las entradas de di­re­c­cio­nes de una lista blanca, por ejemplo, pueden tener más peso que las entradas (en la mayoría de casos obsoletas) de la misma dirección en una DNSBL.

Las DNS-based Blackhole Lists son un elemento de gran im­po­r­ta­n­cia en la lucha contra el spam, sobre todo desde el punto de vista del usuario. La po­si­bi­li­dad de consultar las entradas de la lista a través de DNS las convierte en fáciles y rápidas de usar para los se­r­vi­do­res de correo. De esta forma, se puede disponer de forma sencilla de una bandeja de entrada filtrada. Para los de­sa­rro­lla­do­res y ope­ra­do­res de se­r­vi­do­res de correo ele­c­tró­ni­co, el método de consulta también es fácil de im­ple­me­n­tar.

Sin embargo, los se­r­vi­do­res DNS también se asocian a una serie de problemas, es­pe­cia­l­me­n­te re­la­cio­na­dos con la fia­bi­li­dad y la ac­tua­li­za­ción. En general, no hay garantía de que las entradas de una DNSBL estén ju­s­ti­fi­ca­das y su proveedor las actualice con re­gu­la­ri­dad. Además, suele ser muy difícil conseguir que se eliminen las di­re­c­cio­nes de correo del registro de una DNS-based Blackhole List. En algunos casos, los usuarios de IP hackeadas y usadas para spam no tienen la po­si­bi­li­dad de volver a utilizar su dirección de forma habitual o les resulta muy difícil co­n­se­gui­r­lo.

Si envías re­gu­la­r­me­n­te una gran cantidad de correos, deberías pla­n­tear­te utilizar una IP dedicada con tu proveedor de confianza para mantener la repu­tación de la dirección en tus manos y tener un socio fuerte de tu lado en caso de problemas.