Sistema de feeback SPFBL

Sistema de feeback SPFBL

Diversos serviços anti-spam disponibilizam métodos de envio de alertas, para que os administradores de serviço de e-mail consigam saber sobre denúncias contra seus próprios remetentes. Estes alertas são muito importantes para o administrador do serviço, pois abusos em demasia podem comprometer a reputação do IP usado pelo serviço. Se a reputação do IP estiver comprometida, vários provedores podem deixar de receber mensagens daquele serviço.

 

O sistema de alerta mais conhecido é o Feedback Loop (FBL). O grande problema deste sistema é que depende de cadastro prévio em cada provedor de destino. Ou seja, se o administrador do serviço de e-mail quiser ter amplo acesso às informações de denúncia contra seus remetentes, deve se cadastrar em cada provedor com sistema FBL.

 

Esse procedimento de cadastro FBL é oneroso e complicado. Por este motivo, o projeto SPFBL criou um prefixo de rejeição especial, usando a própria a camada SMTP, para que os administradores dos serviços de envio possam obter informações sobre denuncias, de tal forma que não precisem se cadastrar nos provedores com sistema SPFBL.

 

Sobre o sistema de reputação SPFBL

 

O sistema de reputação SPFBL consiste em capturar a contagem de todas as mensagens legitimas (HAM) e a contagem de mensagens ilegítimas (SPAM) dentro de um determinado período de tempo, para cada IP de origem, sendo que este período nunca será maior que sete dias. Esta informação é coletada em todos os colaboradores do projeto SPFBL, através de uma rede P2P.

 

Utilizando as duas contagens, é calculada a proporção de SPAM pelo volume total de envio, que será a soma de HAM e SPAM daquele IP:

P = SPAM /(HAM+SPAM)

Se esta proporção ultrapassar o limiar de 50%, o IP será listado na DNSBL do SPFBL.net.

 

Como identificar um prefixo de rejeição SPFBL

 

O prefixo de rejeição SPFBL é gerado na camada SMTP e composto pelo código 5.7.1, que significa que o envio não é autorizado, mais a palavra SPFBL, que significa que houve pontuação negativa, com incremento da contagem SPAM:

5.7.1 SPFBL <message>

A mensagem, que precede o prefixo, descreve o motivo da pontuação negativa.

 

Como limpar a reputação de um IP

 

Todo administrador de serviço de envio de e-mail deve determinar políticas de uso aos seus clientes e monitorar o prefixo de rejeição SPFBL nos arquivos de LOG do MTA dos últimos sete dias:

egrep "5\.7\.1.+SPFBL" <mta_log_file>

Se estiver usando o Exim ou cPanel, o administrador pode encontrar estes registros com o seguinte comando:

exigrep "5\.7\.1 SPFBL" /var/log/exim4/mainlog*

Caso algum sistema, que use o serviço SPFBL, receba um volume demasiadamente grande de SPAM e gere rejeições com este prefixo, o administrador do sistema de origem deve advertir ou banir o remetente que está enviando o SPAM rejeitado. A meta é que o MTA de origem não receba novas rejeições com este prefixo, cuja consequência será um ponto negativo para cada rejeição.

 

Pode ocorrer da rejeição ser motivada por bloqueio manual. Neste caso, uma URL será enviada dentro da mensagem:

5.7.1 SPFBL BLOCKED <url>

No caso de bloqueio indevido, será necessário realizar o procedimento de liberação. O procedimento de liberação, por meio da URL, depende da interação do destinatário. Neste caso, é importante que o remetente entre em contato com o destinatário, por outro meio de comunicação, para avisar que foi bloqueado indevidamente pelo sistema anti-spam e irá iniciar o processo de liberação. Uma vez iniciado o processo, o destinatário irá receber um e-mail do sistema:

O remetente 'leandro@spfbl.com.br' deseja lhe enviar mensagens porém foi bloqueado pelo sistema como fonte de SPAM.
Se você confia neste remetente e quer receber mensagens dele, acesse esta URL e resolva o reCAPTCHA:
http://matrix.spfbl.net/<ticket>

Se o destinatário finalizar este procedimento, o sistema irá remover todos os bloqueios que impeçam a aceitação da mensagem e irá registrar o remetente na whitelist do destinatário, de tal forma que o MTA do destinatário passe a aceitar incondicionalmente todas as mensagens daquele remetente para o mesmo destinatário.

 

Como identificar futuros spamtraps

 

Os endereços desativados são registrados como inexistentes no serviço SPFBL, retornando o seguinte prefixo:

5.1.1 SPFBL <message>

Todas as rejeições, com este prefixo, são o sinal de que tal endereço de e-mail deve ser removido imediatamente da lista de contatos ou da lista de e-mail marketing.

 

Caso esta remoção não seja feita, corre-se o risco do serviço de disparo ser listado na rede SPFBL, pois o endereço pode ser convertido em spamtrap a qualquer momento. A rigor, cada endereço de e-mail é convertido em spamtrap um ano após sua inclusão na lista de destinatários inexistentes. Disparos com alto volume de destinatários inexistentes também pode fazer com que o IP seja listado.

 

Ainda que endereços de spamtrap permaneçam em alguma lista de contatos, sem conhecimento do remetente, existe um mecanismo que simula o bloqueio do remetente pelo suposto destinatário, que seria na verdade um robô e não um destinatário real. Esse bloqueio é realizado de forma pseudo-aleatória, para que não seja possível que o remetente descubra quais endereços são de destinatários reais ou quais são spamtraps. Caso o bloqueio automático por spamtrap seja realizado, o remetente deve considerar o caso exatamente como se fosse um destinatário real e removendo seu endereço da lista de contatos, pois estaria removendo na verdade um spamtrap sem se dar conta disso.

 

Links externos

Enhanced Mail System Status Codes
Simple Mail Transfer Protocol (SMTP) Enhanced Status Codes Registry

Leandro Carlos Rodrigues

Bacharel em Ciência da Computação pela FEI

19 Comments
  • Joshua Kaplan
    Responder
    Posted at 13:17, 23 junho, 2017

    I followed the procedure to request an unblock code for onssi.com which you report as being good, and a webpage appeared stating that an unblock code was sent, but I never received the code.

    Please tell me how to get that code, or unblock onssi.com in a different way.

  • Joshua Kaplan
    Responder
    Posted at 14:30, 23 junho, 2017

    72.80.31.43 does match mail.onssi.com on an rDNS query, and our mail server answers “mail.onssi.com” to an SMTP request.

    this can be verified at mxtoolbox.com or any of several other public tools, or by a direct query of our DNS records.

    what makes you think that rDNS is not working for our domain ?

    Your webpage did not say that we have a problem. It said that our domain is now good. there was no error message about a problem with rDNS.

    The webpage displayed by your website declared that we are rated as good, and gave me a button to click for an unlock code. The next page displayed says that a code was sent to me, but I never received it.

    I need to either receive the code or have the block cleared for me.

    Please tell me what the next step is.

  • Joshua Kaplan
    Responder
    Posted at 14:40, 23 junho, 2017

    I don’t understand.

    the rDNS check is for my domain, onssi.com
    I have a mailbox there which is postmaster@onssi.com
    that is what I filled out on your web page
    I never received the email with the unblock code

  • Joshua Kaplan
    Responder
    Posted at 15:37, 23 junho, 2017

    thank you

  • Vitor Ayres
    Responder
    Posted at 15:13, 18 julho, 2017

    O que podemos fazer quando os logs do Mail Server não reportam qualquer registro com o codigo 5.7.1 e , mesmo assim, continua sendo bloqueado pelo sistema SPFBL?

      • Vitor Ayres
        Responder
        Posted at 15:25, 18 julho, 2017

        Há algum outro canal de comunicação menos exposto? Grato.

  • Marcius Franciso
    Responder
    Posted at 14:03, 24 agosto, 2017

    Boa tarde..

    Meu IP está na lista de bloqueio, como fazer para retirá-lo? A pagina tentou me enviar a chave de delist mas não consegue.

  • Posted at 10:57, 28 agosto, 2017

    Caros, bom dia!

    Estamos enfrentando dificuldade de envio de e-mail do Tribunal de Justiça da Bahia para diversos domínios.
    Já entramos em contato a mais de uma semana sem retorno.

    Existe alguma forma de comunicação e interação para verificar essa situação.

    Devido a criticidade por falta da comunicação, solicito celeridade no caso.

    https://matrix.spfbl.net/168.228.240.164

  • Vitalino Victor
    Responder
    Posted at 16:45, 6 setembro, 2017

    Olá, Leandro.
    Meu servidor de e-mails está com 66% de pontos negativos. O FCrDNS está ok.
    A orientação dada pela página http://matrix.spfbl.net seria diminuir a quantidade de e-mails (suponho que seja para satisfazer o P = SPAM /(HAM+SPAM)).

    Acredito que algum falso positivo esteja acontecendo na avaliação de possíveis de SPAM (não utilizo o servidor/domínio para fins publicitários, nem aviso de anexos).

    Além dos documentados em:

    http://spfbl.net/en/delist/
    http://spfbl.net/feedback/

    Existe alguma outra alternativa para satisfazer o SPFBL?

      • Vitalino Victor
        Responder
        Posted at 17:47, 6 setembro, 2017

        Oi, Leandro. Vou bem. Muito obrigado pelo retorno.

        O problema é que para qualquer e-mail enviado é retornado um prefixo de rejeição.

        Na verdade, todos os e-mails são enviados por um “usuário” no-reply. É apenas um e-mail automático, disparado em eventos específicos. Não há outros usuários partilhando do mesmo domínio. Portanto, não tenho condições de isolar um possível abusador.

        Apenas como teste, tentei disparar e-mails com outro usuário (vitalino@). E mesmo assim o e-mail foi rejeitado.

        A poucos dias atrás, nossos pontos negativos abaixaram de 100% para 54% devido a inatividade total de tentativas de envio de e-mails para o destinatário que utiliza o SPFBL.

        Att,
        Vitalino Victor

Post a Comment

Comment
Name
Email
Website