Manual para manejo de RBL

 Como liberar una IP de Una RBL ( Lista Spam ) y en qué momento lo

hacemos o lo hace el cliente

Para iniciar este Manual debemos entender que es una RBL

En palabras sencillas y entendibles una RBL es una entidad que opera a nivel mundial para velar
por el buen uso del servicio de correo, es decir, una RBL se encarga de verificar si la IP desde
donde mandas tus correos está infringiendo las políticas de correo. Si tus correos están
infectados con virus o eres mensajero masivo y envías basura en tus correos muy
probablemente vas a caer en estas RBL.

 ¿UNE maneja las RBL?

R/: No las maneja, como decíamos inicialmente son entidades independientes que operan a nivel
mundial, UNE no las manipula ni es responsable de los procesos o políticas que maneje cada
RBL. UNE no administra las RBL solo consulta en algunas como lo son: FORTIGUARD, CBL,
SPAMCOP, SPAMHAUS, BARRACUDA, RATS DYNA , Trend Micro

 ¿Cuándo es responsable UNE de que una IP este enlistada en una

RBL?

R/: UNE es responsable si el usuario solicito la IP Publica Fija y la entrego con reputación
negativa es decir enlistada en cualquier RBL. Si el usuario está dentro de los primeros 45 días
de entregada su IP y reporta que le entregamos la IP con reputación negativa debemos
desenlistarla, después de esto lo que pase con la reputación de la IP es responsabilidad
absoluta del cliente.

UNE debe garantizar que la IP Publica Fija se entregue totalmente limpia como se muestra en
la imagen a continuación de esta IP
Si el cliente después de entregarle la IP limpia o desenlistársela vuelve a caer, este debe
solicitar a la RBL donde haya caído que lo libere. Antes de proceder con el proceso de
liberación debe garantizar que su red interna esté libre de Virus y problemas de Spam.

Se debe recomendar que haga limpieza con antivirus y antispam, si no sabe hacerlo debe
dirigirse a su técnico de confianza. Desde soporte solo podemos indicarle como hacer el
desenlistamiento mas no hacerlo ya que en la entrega la IP estaba limpia o se desenlisto
después de que lo reporto en los primeros días de tener el servicio y este volvió a caer.

Cabe aclarar que si el cliente está usando algún cliente de correo como Outlook usuaria su IP
Publica Fija para enviar los correos y es responsable de lo que pase con estos, si el cliente usa
un correo remoto la IP que usa es la del servidor del proveedor de correo, si el cliente esta
usando correo remoto con nosotros y le registra que esta enlistada la IP de nuestro servidor
este proceso si lo debemos hacer con plataforma para que libere esa IP de las RBL que lo
afectan, por lo tanto se genera caso y se escala a Plataforma.

 ¿Cómo desenlisto una IP de una RBL ?

Este proceso depende de la RBL, es decir, la RBL es la que determina como hacerlo, algunas
exigen que la persona dueña de la IP se registre en la página de la RBL, otras piden que se llene
formulario y se le envíe la petición de liberación por medio de este, otras tienen la opción de
liberar IP de forma inmediata, otras cobran por liberar la IP o castigan al usuario bloqueándolo
varios días y lo liberan

Para esto mostraremos varios ejemplos

Ejemplo 1

La IP está en Sorbs Duhl y Spamhaus

Lo que se recomienda es buscar la página de cada RBL en nuestro amigo Google

Se ingresa a la página de la RBL

Por ejemplo en esta RBL es necesario estar registrado para poder liberar una IP, pueden exigir
PTR dependiendo del caso sobre todo si el cliente maneja servidor de correo propio y no ha
solicitado PTR a la ip asociado al nombre de su servidor

Ingresamos a la opción Login, actualmente el usuario es une, si no conoces la contraseña puedes

resetearla en la misma página y la nueva contraseña llegara a internet141@une.net.co
Estando ya logueados ingresamos a la opción desenlistar IP como se ve en la imagen

Digitamos la ip en el campo mostrado y consultamos

Ingresamos en la opción More

Ingresamos a la opción de soporte

Y solicitamos por escrito la liberación de la IP

Se genera un Ticket con el cual se liberara la ip aproximadamente de 24 a 48 horas, esto

depende de las políticas de la RBL

Ejemplo 2

Spamhaus

El mismo proceso, buscamos en Google

Ingresamos a la página y estando en el sitio accedemos a la opción de consulta, digitamos la IP
y confirmamos como esta reportada la IP en esta RBL
Encontramos que está en PBL, procedemos a ingresar a esta opción para liberarlo
Se llena el formulario como se muestra a continuación:

Al hacer clic en Submit se enviara un código al correo que se registre allí, es recomendable
registrar allí el correo del grupo offline de IDC que ya está registrado en Spamhaus
servicioidcpymes@une.com.co para este proceso y se le solicita el código a la persona que este
manejando ese buzón en el momento.
Se ingresa el código y se finaliza el proceso, a partir de ese momento puede tardar de 24 a 48
horas en ser desenlistado

Ejemplo 3

Barracuda
Consultamos la IP
Podemos confirmar que la IP esta en esta RBL, damos click en Click Here para liberarla

Se llena el formulario y se envía, este nos genera un Ticket el cual estará liberando la IP de 24
a 48 Horas aproximadamente
Ejemplo 4

Fortiguard
Esta RBL se debe consultar siempre ya que es una de las listas que UNE usa para sus servicios,
si está en esta debemos proceder a liberarla

http://www.fortiguard.com/tools/ip_lookup.html
Ejemplo 5

Trend Micro

Cuando un cliente tiene problemas con su IP para envío de correo a Hotmail puede estar
reportado en esta lista

https://ers.trendmicro.com/reputations

Procedemos a ingresar a la página consultamos y si esta reportada solicitamos liberación

Se llena el formulario y se debe enviar solicitud en Ingles, se recomienda para los que no somos
duros en Ingles usar traductor de Google.
Aquí podemos ver que fue enviada la solicitud, podría tardar como en las demás de 24 a 48
Horas para ser liberada.

Ejemplo 6

UCPROTECT

Hay direcciones IP que pueden caer en la RBL UCPROTECT para esta RBL no hay gestion como
se indico en las anteriores, esta RBL enlista la IP del cliente o el Pool completo al que
pertenece la IP en caso de caer en nivel 3, esta RBL genera cobro o castiga al cliente hasta 7
Dias
No se garantiza ser liberado de esta RBL, muchas veces el problema no es esta RBL si no la
configuración de la cuenta en cliente de correo como outlook por lo tanto se debe verificar el
error que saque el cliente de correo para confirmar si el error anuncia a UCPROTECT como el
problema real, si no es asi se recomienda reconfigurar cliente de correo.

Esta es la información que plataforma nos ha entregado de esta RBL en especial

Buenos Días,

UCEPROTECT es la lista negra o RBL (por sus siglas en inglés Real-time Blackhole List) más
estricta y exigente de las que actualmente se dispone en Internet. Cuenta con tres niveles de
severidad, cada uno de ellos conformando su respectiva lista negra: Nivel-1, en él se listan
direcciones IP de hosts que hayan sido detectados enviando spam durante los últimos 7 días;
Nivel-2, en él se listan redes con máscara de 24 bits, cuando se detecta que 4 o más
direcciones pertenecientes a una misma red se encuentran reportadas en el Nivel-1; y Nivel-3,
en él se listan todas las redes que pertenecen a un mismo ISP cuando el 0,2% de sus IP están
reportadas en el Nivel-1, es decir, se lista el sistema autónomo completo. Es así como
actualmente UNE aparece reportado en la lista Nivel-3 por tener solo el 1,25% de sus clientes
como generadores de Spam.

De esta forma es muy probable que correos legítimos enviados desde direcciones IP que no
generan spam sean bloqueados como consecuencia de las listas de Nivel-2 y Nivel-3 de esta
RBL, lo cual afecta a clientes inocentes que son tomados como falsos positivos. Por esta razón
muy pocos administradores de correo a nivel mundial utilizan UCEPRTOTECT para filtrado de
spam, sin embargo, se pueden presentar algunas excepciones.

Las direcciones listadas temporalmente en Nivel-1 son removidas 7 días después que
UCEPROTECT detecta que desde ellas ha cesado el envío de spam. Una vez que todas las
direcciones reportadas en Nivel-1 han sido removidas, , y de UCEPROTECT
automáticamenteorma gratuita, hace el respectivo desenlistamiento de Nivel-3. Existe la
opción, mediante el pago de 250 euros, de solicitar el desenlistamiento inmediato de todas las
direcciones y redes pertenecientes al sistema autónomo afectado. Cabe aclarar que las
entidades de listas negras reconocidas, nunca cobran y adicionalmente proveen más opciones
para desenlistar direcciones o rangos de IP, no obstante lo anterior, si UCEPROTECT detecta
nuevamente envío de spam desde estas o desde otras direcciones, volverá a listar todas las
direcciones del sistema autónomo.

Actualmente EPM Telecomunicaciones viene trabajando en varios frentes para disminuir los
niveles de spam que generan nuestros usuarios, entre ellos se encuentran la adquisición de
tecnología y adecuación de la arquitectura con la infraestructura existente, que nos permitirán
en el corto y mediano plazo ofrecer un mejor servicio.

Mas información de esta RBL

Que hacer con los reportes que entrega otra herramienta de chequeo de RBL´s?

Es muy importante hacer esta verificación pero no debe ser el primer descarte para escalar
los requerimientos, sugerimos que primero que todo se tenga claridad del mensaje de error que
le genera al cliente ya que en muchas ocasiones al consultar la IP en estas herramientas
muestra que aparece reportada en una gran cantidad de listas negras pero que el problema de
envío no sea por estos reportes. Ejemplo: Muchas IP de UNE aparecen en una lista llamada
UCEPROTECT, pero aún no hemos visto un caso puntual en el que le sean rechazados correos a
un cliente por este enlistamiento. Reiteramos que el mensaje de error es muy determinante
para saber el motivo del rechazo del correo.

el mensaje de error le indica cuál de las listas anteriores se encuentra reportado y es bajo
éste ítem que deben fijarse, pues existen entidades antispam que bloquean IP y dominios sin
parámetros técnicos.

El caso con UCEProtect, es que cuando detecta que hay 3 o más servidores bajo un rango /24
de IPS, bloquea a todo el rango completo.

Compañías como UCEPROTECT, no sólo bloquea la IP que genera el SPAM, también bloquea la
clase C entera donde se aloja el spammer. Aunque ellos lo hacen sólo cuando ve a 3 direcciones
IP de una misma clase C, lo cierto es que, finalmente terminan bloqueando a una treintena de
otros clientes que son totalmente ajenos al SPAM.

UCEPROTECT http://www.uceprotect.net Piden dinero para sacarte de las listas, intentan

lucrarse y eso ya es motivo suficiente para que una lista no sea fiable, además, meten
indiscriminadamente a ISP completos. NO RECOMENDABLE.

Ejemplo 7

RATS Dyna

Para esta RBL se debe tener en cuenta que enlista IP cuando el usuario la usa para su propio
servidor de correo y no ha solicitado que le configuremos PTR asociando el nombre del servidor
que normalmente puede ser el mismo dominio o algo como mail.eldominio.com. Esto el cliente lo
debe hacer con el fin de que su IP sea reconocida a nivel mundial como servicio de correo, de lo
contrario será tomada como IP sospechosa y se bloquea por la RBL.

Si el cliente tiene problemas para enviar correos desde su cliente de correo se debe analizar
bien el error si reporta en realidad que el bloqueo es de Rats Dyna o es otra falla de la
herramienta que esté usando. Es indispensable descartar esto porque si el cliente no tiene
servidor de correo propio y tiene problemas con su cliente de correo la falla comúnmente es
generada por fallas en la configuración o restricciones de su red interna.

Cuando es necesario como solución configurar PTR se escala a plataforma con las indicaciones
así: Favor configurar PTR a la ip (Número de IP ) al nombre del servidor ( Nombre del servidor
). Después de que se configura el PTR se debe proceder a liberar de Rats Dyna segun el
ejemplo:

Buscamos la RBL en nuestro amigo Google e ingresamos a la página

Ingresamos a la opción de Removal y alli consultamos la IP en las tres opciones que nos entrega
Podemos consultar en la parte inferior si realmente está en esta RBL así:
Aquí confirmamos que si esta reportada en esta RBL, en la opción señalada con la flecha
podemos acceder para solicitar la liberación, si no aparece en este sitio se debe consultar una
por una en las 3 opciones antes mencionadas
En esta imagen se confirma según la RBL que la ip requiere PTR para liberarlo de esta.

Cuando ya se tenga el PTR configurado se debe solicitar la liberación desde las mismas
opciones mencionadas y si no lo permite se debe llenar el formulario de esta RBL y solicitarlo
por escrito
Como se realiza el desenlistamiento de estas RBL se hace la mayoría de RBL ya depende de sus
políticas, en la mayoría de casos el causante es el cliente por lo que se recomienda cuando un
cliente llame a pedir desenlistamiento de IP y no aplique de nuestra parte hacer el proceso
explicarle que es el quien debe garantizar que su IP no caiga en estas RBL y eso depende de la
implementación en seguridad de su red interna.

 ¿Qué pasa si el cliente no asume su responsabilidad y exige que UNE

lo libere de las RBL ?

Se debe persuadir al máximo al usuario y en última instancia si el caso ya es crítico y el cliente

demasiado difícil se procede a escalar al offline para que proceda a solucionar el problema.

 ¿Qué pasa si el cliente pide que se le cambie la IP Publica Fija?

En este caso si la IP fue entregada con reputación negativa al cliente se podría tomar esta
medida, pero si el cliente ya lleva tiempo con su ip y no esta en garantía, solo se puede cambiar
la IP si está libre de problemas con RBL y no está afectada su reputación. También se hace
cambio cuando el problema del cliente es por motivos de fuerza mayor que atentan contra su
seguridad personal (Amenazas, extorciones, robos constantes) debe entregar pruebas de que
este es el motivo. El cliente debe garantizar que su red no sea vulnerable para que no sea
Hackeado.

Nota: El tema de RBL es bastante amplio por lo que debe ser analizado individualmente y
profundamente, no se puede siempre proceder a la ligera a generar pedidos ya que como se
informó anteriormente el cliente es el mayor causante de este problema. Cualquier duda debe
ser verificada con el grupo offline de IDC o en su defecto con el formador a cargo