Bloqueo de IPv6 en /56: un caso de “castigo colectivo” con Spamhaus lista anti-spam

En el ecosistema de la lucha contra el spam, Spamhaus es una de las organizaciones más reconocidas por la administración de listas negras (blocklists). Estas listas se utilizan para bloquear o filtrar el correo electrónico que aparentemente proviene de fuentes no deseadas. Sin embargo, recientemente se ha suscitado una polémica relacionada con el tratamiento que Spamhaus está dando a las direcciones IPv6, bloqueándolas a nivel de subredes /56 o superiores.

¿Por qué es un problema?

Recordemos que en IPv6, un bloque /56 ofrece un rango vastísimo de direcciones: 256 subredes /64, cada una con direcciones virtualmente incontables. Hablamos 2⁷²  o sea 4.720.572.778.740.768 ips. Bloquear por /56 implica:

• Afectar a múltiples usuarios dentro de un mismo proveedor de hosting o colocation. Proveedores como OVH, Hetzner o cualquier gran plataforma de servidores podrían verse impactados sin que todos los usuarios afectados tengan responsabilidad directa en el supuesto spam.
• Escalar el daño de un caso puntual: un remitente mal configurado o malintencionado perjudica a todos los que comparten el mismo bloque. Es el equivalente a responsabilizar a un barrio entero por la mala acción de una sola persona. (¿Os suena el caso de La Liga Española y Tebas?, pues lo mismo)

Además, desde una perspectiva técnica y ética, se cuestiona si este tipo de filtrado masivo viola el principio de “minimizar los falsos positivos” y castiga colectivamente en lugar de aislar únicamente las IP infractoras.

Breve ejemplo real

El siguiente ejemplo expone un caso donde la dirección 2001:41d0:404:200::338c es listada por Spamhaus, pero en realidad lo que se está bloqueando es la subred /64 (y, según la configuración de Spamhaus, incluso el /56 completo). El motivo de la inclusión descrito por Spamhaus es un “HELO” mal configurado y “mala higiene de listas”. Sin embargo, cualquier otro cliente que comparta partes de ese /56 se ve igualmente bloqueado, aunque no tenga relación alguna con la IP concreta.

Riesgo de ineficacia y mala reputación

Bloquear de forma tan amplia conlleva varios inconvenientes:

1. Ineficacia: Al penalizar a múltiples usuarios no relacionados con el problema, se corre el riesgo de incrementar los índices de falsos positivos y dañar la reputación del mecanismo de filtrado.
2. Castigo colectivo: En vez de aplicar sanciones individuales, se extiende el bloqueo a quienes no han incumplido ninguna regla, generando una sensación de arbitrariedad.
3. Rompe la escalabilidad natural de IPv6: IPv6 fue diseñado para proveer direcciones en grandes cantidades. Bloquear por /56 refleja viejas prácticas de IPv4 que ignoran la amplitud y flexibilidad del espacio IPv6.

Recomendaciones para administradores

• Configurar correctamente el HELO, definiendo un FQDN (Fully Qualified Domain Name) con resolución directa e inversa (DNS y rDNS).
• Revisar y purgar listas de contactos para evitar rebotes y reportes de spam (“poor list hygiene”).
• Monitorear con herramientas que permitan saber si su IP (o subred) está listada en blocklists.
• Solicitar la exclusión (delisting) con la evidencia de la corrección de la configuración y aportando registros DNS válidos al comprobar el envío.

Postura y debate

Este bloqueo a nivel de /56 en IPv6 reabre el debate sobre hasta qué punto es ético y práctico penalizar a rangos inmensos por la acción de un único remitente. Aunque el objetivo de Spamhaus es mantener la red limpia, la política de subredes tan amplias puede terminar fortaleciendo la desconfianza en la utilidad de la lista y ocasionar que administradores opten por filtros más granulares.

En resumen, la efectividad de una lista antispam depende de la precisión con la que identifica y bloquea las fuentes de spam, evitando dañar conexiones legítimas. Cuando se recurre a un “bloque colectivo” de gran magnitud, la credibilidad del sistema se ve en entredicho, y muchos administradores y proveedores se ven obligados a invertir tiempo y recursos en procedimientos de delisting que podrían haberse evitado con una metodología de bloqueo más selectiva.

No es el único caso, pues muchos de los servicios SaaS antispam, son una suerte de colecciones de uso de distintos métodos, rayando muchas veces en la ineficacia, vendiendo una solución segura, llena de falsos positivos, y de problemas para los usuarios de dichos sistemas, que son enmascarados mediante fuertes dosis de marketing, y de product managers que venden la eficacia de su producto a costa de mentiras y medias verdades.

Siempre recordaré las declaraciones de Javier Tebas, presidente de La Liga de futbol española, en lo que demostro ser un experto manipulador que convencerá siempre, a una gran mayoría de adeptos dispuestos a escuchar, en lugar de analizar desde un punto de vista técnico, la realidad del paquete a la venta.