Bloqueo de IPv6 en /56: un caso de “castigo colectivo” con Spamhaus lista anti-spam

Spamhaus, anti-spam a la deriva

En el ecosistema de la lucha contra el spam, Spamhaus es una de las organizaciones más reconocidas por la administración de listas negras (blocklists). Estas listas se utilizan para bloquear o filtrar el correo electrónico que aparentemente proviene de fuentes no deseadas. Sin embargo, recientemente se ha suscitado una polémica relacionada con el tratamiento que Spamhaus está dando a las direcciones IPv6, bloqueándolas a nivel de subredes /56 o superiores.

¿Por qué es un problema?

Recordemos que en IPv6, un bloque /56 ofrece un rango vastísimo de direcciones: 256 subredes /64, cada una con direcciones virtualmente incontables. Hablamos 272  o sea 4.720.572.778.740.768 ips. Bloquear por /56 implica:

  • Afectar a múltiples usuarios dentro de un mismo proveedor de hosting o colocation. Proveedores como OVH, Hetzner o cualquier gran plataforma de servidores podrían verse impactados sin que todos los usuarios afectados tengan responsabilidad directa en el supuesto spam.
  • Escalar el daño de un caso puntual: un remitente mal configurado o malintencionado perjudica a todos los que comparten el mismo bloque. Es el equivalente a responsabilizar a un barrio entero por la mala acción de una sola persona. (¿Os suena el caso de La Liga Española y Tebas?, pues lo mismo)

Además, desde una perspectiva técnica y ética, se cuestiona si este tipo de filtrado masivo viola el principio de “minimizar los falsos positivos” y castiga colectivamente en lugar de aislar únicamente las IP infractoras.

Breve ejemplo real

El siguiente ejemplo expone un caso donde la dirección 2001:41d0:404:200::338c es listada por Spamhaus, pero en realidad lo que se está bloqueando es la subred /64 (y, según la configuración de Spamhaus, incluso el /56 completo). El motivo de la inclusión descrito por Spamhaus es un “HELO” mal configurado y “mala higiene de listas”. Sin embargo, cualquier otro cliente que comparta partes de ese /56 se ve igualmente bloqueado, aunque no tenga relación alguna con la IP concreta.

Riesgo de ineficacia y mala reputación

Bloquear de forma tan amplia conlleva varios inconvenientes:

  1. Ineficacia: Al penalizar a múltiples usuarios no relacionados con el problema, se corre el riesgo de incrementar los índices de falsos positivos y dañar la reputación del mecanismo de filtrado.
  2. Castigo colectivo: En vez de aplicar sanciones individuales, se extiende el bloqueo a quienes no han incumplido ninguna regla, generando una sensación de arbitrariedad.
  3. Rompe la escalabilidad natural de IPv6: IPv6 fue diseñado para proveer direcciones en grandes cantidades. Bloquear por /56 refleja viejas prácticas de IPv4 que ignoran la amplitud y flexibilidad del espacio IPv6.

Recomendaciones para administradores

  • Configurar correctamente el HELO, definiendo un FQDN (Fully Qualified Domain Name) con resolución directa e inversa (DNS y rDNS).
  • Revisar y purgar listas de contactos para evitar rebotes y reportes de spam (“poor list hygiene”).
  • Monitorear con herramientas que permitan saber si su IP (o subred) está listada en blocklists.
  • Solicitar la exclusión (delisting) con la evidencia de la corrección de la configuración y aportando registros DNS válidos al comprobar el envío.

Postura y debate

Este bloqueo a nivel de /56 en IPv6 reabre el debate sobre hasta qué punto es ético y práctico penalizar a rangos inmensos por la acción de un único remitente. Aunque el objetivo de Spamhaus es mantener la red limpia, la política de subredes tan amplias puede terminar fortaleciendo la desconfianza en la utilidad de la lista y ocasionar que administradores opten por filtros más granulares.

En resumen, la efectividad de una lista antispam depende de la precisión con la que identifica y bloquea las fuentes de spam, evitando dañar conexiones legítimas. Cuando se recurre a un “bloque colectivo” de gran magnitud, la credibilidad del sistema se ve en entredicho, y muchos administradores y proveedores se ven obligados a invertir tiempo y recursos en procedimientos de delisting que podrían haberse evitado con una metodología de bloqueo más selectiva.

No es el único caso, pues muchos de los servicios SaaS antispam, son una suerte de colecciones de uso de distintos métodos, rayando muchas veces en la ineficacia, vendiendo una solución segura, llena de falsos positivos, y de problemas para los usuarios de dichos sistemas, que son enmascarados mediante fuertes dosis de marketing, y de product managers que venden la eficacia de su producto a costa de mentiras y medias verdades.

Siempre recordaré las declaraciones de Javier Tebas, presidente de La Liga de futbol española, en lo que demostro ser un experto manipulador que convencerá siempre, a una gran mayoría de adeptos dispuestos a escuchar, en lugar de analizar desde un punto de vista técnico, la realidad del paquete a la venta.

Youtube – Mod Security en DirectAdmin. Conocerlo y gestionarlo en el panel de control DirectAdmin.

Mod Security para usuario de DirectAdmin

¡Hola a todos! Vamos a sumergirnos en el fascinante mundo de Mod Security y aprender cómo gestionarlo mediante el panel de control DirectAdmin. Si estás interesado en mejorar la seguridad de tu servidor web y proteger tus aplicaciones contra amenazas, este video tutorial es definitivamente para ti. Exploraremos desde la instalación hasta la configuración avanzada y el mantenimiento de Mod Security para asegurar tu entorno de hosting.

Read More

Apertura del canal Youtube, Tecno Boomer, dedicado al mundo del hosting

Anuncio de la apertura del canal de YouTube Tecno Boomer

Ya son muchos años en el sector, muchos años pasando por varios paneles de control, servicios sin panel, migraciones de todo tipo. Pero creo ue llego el momento de expresar los que se en el formato que la gente quiere: el video.

Un nuevo canal,  Tecno Boomer que espero haga las delicias de muchos, como mi Wiki Personal que mes a mes gana vistas, alcanzando ya mas 100.000 vistas mes.

EL primer video Primeros Pasos con DirectAdmin comenzará a emitirse el 25 de agosto de 2024, a las 18 horas.

Read More

El Uso de la Lista UCEPROTECT en los Niveles 2 y 3: Una Falacia de Causa Cuestionable

La lista UCEPROTECT es una herramienta utilizada por muchos administradores de sistemas y proveedores de servicios de correo electrónico para filtrar correos no deseados (spam). Esta lista opera en tres niveles diferentes, cada uno con su propio conjunto de criterios y consecuencias. Sin embargo, el uso de los niveles 2 y 3 de esta lista ha sido objeto de controversia y críticas debido a su enfoque en la penalización de bloques completos de direcciones IP, lo que plantea serias dudas sobre su equidad y eficacia.

Read More

Fatal error: Allowed memory size of 268435456 bytes exhausted en WordPress. Otro post más… pero diferente

Elementor Pro :: Problemas de memoria

No es la primera vez que me encuentro con el agotamiento de la memoria en sitios de WordPress, y a menudo la información disponible es la misma. Incluso me lleva a recordar ese grupo de «expertos» que repiten el mismo consejo una y otra vez sin aportar nada nuevo a la conversación. Incluso las IA, como ChatGPT, también caen en la misma trampa.

Ninguna IA parece darse cuenta de que en el mundo de la programación hay personas que no siguen las mejores prácticas, y que el software, como WordPress, se nutre de miles de programadores que no respetan las normas de codificación, algo que ni siquiera WordPress impone, lo que abre la puerta a todo tipo de problemas.

Read More

Problemas de Acceso con Centos 7, Almalinux 8, Ubuntu 20.04, y Debian 10/11: Un Enigma Firewall CSF

SSh + Csf bloquea el acceso a ip dinamicas en listas blanca dinámica

Recientemente, me topé con un desafío peculiar relacionado con el acceso a algunas máquinas que ejecutan Centos 7, Almalinux 8, Ubuntu 20.04 y Debian 10/11. El problema implicaba un bloqueo en el acceso a servidores (virtuales o baremetal) debido a puertos cerrados en la configuración del firewall [CSF](https://configserver.com/cp/csf.html) y hosts que están en la lista de permitidos dinámica.

Read More

MySQL no inicia debido a errores en la base de datos interna de MySQL

Basura gurus informática

Uno de los mensajes más alarmantes que puedes encontrarte es aquel que indica que tu servidor MySQL no se puede iniciar debido a una serie de errores vinculados a las tablas de la base de datos interna de mysql.

Más preocupante aún, es ver cómo mucha gente, sin los conocimientos adecuados, se aventura a responder estas cuestiones en foros, Stack Overflow o incluso en tutoriales de YouTube, generando desinformación y, en lugar de ayudar, creando potenciales desastres.

Editado/ampliado: 2023/06/06

Read More

Actualización de seguridad 6.2.1 para WordPress y la importancia de los backups confiables

Parche de seguridad Wordpress 6.2.1

La seguridad de nuestro sitio web es de vital importancia en el mundo digital actual. WordPress, como una de las plataformas de gestión de contenido más populares, no está exenta de amenazas. En este artículo, nos enfocaremos en la reciente actualización de seguridad 6.2.1 para WordPress y destacaremos la necesidad de tener un sistema de backups confiable para proteger nuestra información valiosa.

Read More

El mito de los ficheros SVG inseguros en las subidas de ficheros

Mitos y leyendas: Seguridad subiendo ficheros SVG

En el mundo de la seguridad informática, existen muchos mitos y conceptos erróneos que a menudo generan preocupación innecesaria. Uno de estos mitos se refiere a la supuesta inseguridad de los ficheros SVG (Scalable Vector Graphics) al ser subidos mediante aplicaciones web. Sin embargo, es importante examinar a fondo esta afirmación y comprender que aspectos de los ficheros SVG pueden dar paso a posibles vulnerabilidades.

Read More

Solución de problemas de errores 500 en Castris Hosting: una guía para usuarios de cPanel

php.ini personalizado. Gestión de errores en cPanel. Error 500

Los errores tipo 500 pueden ser comunes en el ámbito del alojamiento web y, en muchas ocasiones, tienen su origen en un problema relacionado con PHP. Estos problemas pueden ser consecuencia de una configuración incorrecta o de no cumplir con los requerimientos del software y sus módulos. En este artículo, explicaremos cómo los usuarios de cPanel en Castris como pueden solucionar estos problemas siguiendo algunos pasos sencillos.
Read More