Estamos experimentando dificultades. Nuestros ingenieros están trabajando. Consulte status.mailgun.com para obtener actualizaciones en tiempo real.

SCBL de Spamcop

Resumen

SpamCop es el principal servicio web para denunciar y bloquear el correo no deseado. Procesan millones de quejas por spam al día y cuentan con el apoyo de cientos de miles de usuarios, una comunidad de voluntarios expertos y un personal profesional. Los datos procesados diariamente se utilizan para mantener la Lista de Bloqueo de SpamCop (SCBL). Esta lista ofrece a los proveedores de servicios y a otros administradores de email una herramienta automatizada para filtrar el spam agresivo de una red de correo electrónico.

SpamCop forma parte de la inteligencia de seguridad de Cisco en Talos.

Efectos

Los efectos se producen a nivel de IP y la entrega de tráfico puede verse afectada. La inclusión en la lista se gestiona en función del tiempo y normalmente la IP se retira después del último registro de spamtrap. El tiempo puede variar en función de la gravedad del spam.

Motivo de la inclusión en la lista

Las IP se incluyen en la lista por varios motivos:

  • Quejas directas de spam por parte de los usuarios de SpamCop
  • Registros de spamtraps de SpamCop
  • Respuestas automáticas o rebotes dirigidos a una dirección equivocada
  • Un servidor o proxy abierto

Proceso de mitigación

Una IP se retirará automáticamente en 24 horas después del último registro de spam. SpamCop te permite presentar una solicitud de retirada directamente en el sitio. Antes de enviar la solicitud, te piden que revises tu sistema para detectar estos posibles problemas:

  • Infestaciones de troyanos/virus o explotaciones de scripts
  • Respuestas automáticas o rebotes retrasados dirigidos a una dirección equivocada
  • Inseguridad SMTP AUTH

Reglas de la SCBL

Así es como funciona actualmente el sistema basado en estas reglas:

  • La SCBL incluye en la lista las direcciones IP con un gran número de denuncias en relación con los puntos de reputación. El equipo de SpamCop equilibra manualmente el umbral en un esfuerzo por hacer la lista lo más precisa posible.
  • La SCBL pondera las denuncias en función de la fecha de recepción del correo (o lo reciente que es):
    • La SCBL cuenta las denuncias más recientes recibidas 4:1.
    • La SCBL cuenta las denuncias de los emails de 48 horas o más 1:1, con una escala deslizante lineal entre los más recientes y los de 48 horas.
    • La SCBL ignora las denuncias de los emails recibidos hace más de una semana.
  • La SCBL utiliza las denuncias de spamtrap para ponderar el total de denuncias. Para las puntuaciones de spamtrap inferiores a 6, la SCBL multiplica por 5 la cantidad de denuncias de spamtrap y añade el resultado a la puntuación de la denuncia. Para puntuaciones de spamtrap mayores, la SCBL eleva al cuadrado la cantidad. Ejemplos:
    • Si una dirección IP tiene 2 denuncias de spamtrap y 3 denuncias de usuario de SpamCop, su puntuación ponderada es 13: (2 * 5) + 3 = 13.
    • Si un host tiene 7 denuncias de spamtrap y 3 denuncias manuales, su puntuación ponderada es de 52: (7 * 7) + 3 = 52.
  • La SCBL no contabiliza las denuncias relativas a las URL o direcciones en el cuerpo del email. Por lo tanto, la SCBL no contabiliza las páginas web o las direcciones de email utilizadas para recibir respuestas en el correo electrónico denunciado, a menos que esa IP también se utilice para enviar el correo.
  • La SCBL no incluirá en la lista una dirección IP con una sola denuncia presentada.
  • Con solo dos denuncias contra una dirección IP, la SCBL incluirá en la lista la dirección IP durante un máximo de 12 horas después de que se haya enviado el último correo denunciado.
  • La SCBL no incluirá en la lista una dirección IP si no hay denuncias contra ella en el plazo de 24 horas.
  • Si un servidor envía rebotes a una spamtrap de la SCBL en cantidad suficiente para cumplir los criterios de inclusión en la lista, la SCBL incluirá ese servidor en la lista. Esta situación se debe a que algunos servidores de correo no rechazan el correo durante la transacción SMTP, sino que aceptan el correo y envían un mensaje de rebote posteriormente. (Estos servidores suelen ejecutar qmail o postfix). Los virus y el spam suelen contener una línea De: falsificada. Si el correo es rechazado o bloqueado durante la transacción SMTP, el rebote irá a la IP de conexión. Si el rebote se produce después de que el correo sea aceptado para su entrega, entonces el rebote irá a la dirección del campo De:. Los virus y el spam suelen utilizar direcciones de la lista de destinatarios para rellenar el campo De:. A veces, estas direcciones son spamtraps.