Monitorización de Blacklists de SPAM con Pandora FMS

suzdal
2

Visto 8916 veces | Publicado el 29/07/2010 | smtp script


El SPAM es uno de los mayores males tecnológicos para un administrador de sistemas. Entre los múltiples problemas que genera, el más importante, aparte de la cantidad de correo basura que hay que gestionar, es quizás que el sistema de correo corporativo o los DNS aparezcan dentro de una blacklist o lista negra.

Por blacklist se entiende un registro en Internet donde se incluyen aquellas direcciones IP que generan SPAM de forma voluntaria o involuntaria. Existen diversas listas donde comprobar qué sistemas se encuentran identificados:

http://www.spamhaus.org/sbl/index.lasso
http://www.spamcop.net/bl.shtml
http://mxtoolbox.com/blacklists.aspx

Etc.

Al estar el sistema de correo en una lista negra, no es posible enviar ni recibir mails y el malestar de los usuarios es bastante notable. Los motivos de porqué un sistema de correo puede aparecer incluido en una blacklist son diversos:

  1. Relays abiertos en el servidor de correo.
  2. Resolución inversa de DNS no activada.
  3. Relay entre servidores activado.
  4. Formularios Web de envío de correo con vulnerabilidades.
  5. Mala intención.

Etc.

Es posible activar mecanismos de control para anticiparse a que el correo corporativo se incluya en cualquier lista negra y evitar así molestar a los diferentes usuarios existentes. El caso aquí descrito se basa en la herramienta de monitorización Pandora FMS (http://pandorafms.org/).

Pandora FMS es similar al conocido Nagios pero más flexible y modular y fácil de administrar. Una de las opciones que incluye es la ejecución de plugins a nivel de servidor, es decir, permite ejecutar programas de forma externa y recuperar los datos generados.

A partir de ahí, es relativamente sencillo desarrollar un plugin para Pandora FMS que compruebe en las blacklist definidas si el servidor de correo en cuestión, está o no incluido. En este caso se comprueba, por ejemplo, contra listas negras que no utilizan controles ActiveX y que se pueden consultar desde un terminal en Linux: SenderBase, Backscatterer y mail-abuse.

SenderBase propiedad de Cisco y utilizada en sus sistemas anti-SPAM Ironport, recolecta información de más de 100.000 proveedores de Internet, universidades y corporaciones alrededor del mundo. Además, comprueba más de 120 parámetros distintos para cualquier servidor en Internet.

El plugin ofrece dos tipos de monitorización, una tipo string que muestra el volcado del plugin y otra que, únicamente, indica el estado.

./bl.sh --type=proc --method=senderbase --dom=example.com
./bl.sh --type=string --method=senderbase --dom=example.com

Si el dominio de correo no aparece en la lista analizada (opción “good”), la consola de Pandora FMS lo mostrará en verde indicando que es correcto, si la página lo tiene marcado como “neutral” se mostrará en ámbar cómo warning y si, en algún caso, aparece con la categoría “poor” dentro de la blacklist saldrá en rojo y cómo critico.


Fig 1. Configuración del plugin en Pandora FMS

 

Para el caso de la blacklist SenderBase (http://www.senderbase.org/), el funcionamiento es el siguiente:

wget $base_url --output-document=$tmp_file -U="Mozilla/5.0" --quiet

Como esta lista ofrece más información que el resto, en el plugin se ha ampliado el volcado de datos, incluyendo número de subdominios que se encuentran en los diferentes estados “good”, “neutral” y “poor”.

Las otras dos listas, únicamente, informan de si el dominio consultado está o no en su lista negra por lo que el funcionamiento del plugin es algo más simple.

Para comprobar en Backscatterer, (http://www.backscatterer.org/?target=test) el comando utilizado es:

wget $base_url --post-data="target=test&ip=$1" --output-document=$tmp_file -U="Mozilla/5.0" --quiet

Para mail-abuse (http://www.mail-abuse.com/cgi-bin/lookup) de Trend-Micro:

wget $base_url --post-data="&ip_address=$1" --output-document=$tmp_file -U="Mozilla/5.0" --quiet

Una vez que se obtienen los resultados de las consultas, se formatea la información según los parámetros que se haya pasado.

Por ultimo, indicar que la mejor configuración para los agentes y la monitorización de Pandora FMS en base a este plugin, es de 900 segundos y con un timeout de 120.

El plugin completo se puede descargar aquí (http://pandorafms.org/index.php?sec=community&sec2=repository&lng=es&action=view_PUI&id_PUI=128). Cabe destacar que este plugin no protege por sí sólo del SPAM, sino que actúa como un control para poder detectar de forma previa a las quejas de los usuarios, que un servidor de correo está dentro de una blacklist.


Fig 3. Monitorización de Pandora FMS del estado de un dominio en la blacklist de SenderBase

En hacktimes ya se ha tratado antes el tema del SPAM comentando diferentes soluciones existentes (http://www.hacktimes.com/soluciones_anti-spam_y_seguridad) e incluso se ha explicado cómo configurar los registros SPF para proteger a los servidores de correo: http://www.hacktimes.com/seguridad_en_el_correo_electr_nico_spf/

Enlaces relacionados:

Nagios: http://www.nagios.org
Pandora FMS: http://pandorafms.org/
Cisco Ironport: http://www.ironport.com


agosto 04 12:05 a.m.
freed0m dijo:

Muchas gracias, nos alegramos de que os guste.

agosto 02 6:10 p.m.
Pandora FMS dijo:

Soy el jefe de proyecto de Pandora FMS y he visto vuestro artículo. Fantástico !


Añadir comentario











Búsqueda

Síguenos


Otros contenidos

El staff de Hacktimes ruega a cualquier persona interesada en la distribución y/o publicación de estos artículos que lo haga sin alterar su contenido y cite a su autor y/o la fuente original. Muchas gracias.

Todos los artículos publicados se encuentran bajo la licencia Creative Commons