Eugenio Siccardi, Webmaster de Rompecadenas, sitio argentino especializado en Hoaxes y Spam, define a éste último como "la práctica de enviar indiscriminadamente mensajes de correo electrónico no solicitados. Generalmente, se trata de publicidad de productos, servicios o de páginas web."

Para muchos, el SPAM es uno de los peores males de la internet actual, junto a los virus y los hackers, o incluso peores que ellos. De acuerdo a fuentes como SpamCon Foundation o el mismo Rompecadenas, la cantidad de correo no solicitado en internet es asombrosa: entre 25% y 35% de los mensajes que circulan por internet son SPAM.

Siendo una de las más redituables prácticas de marketing en internet, el SPAM tiene tantos detractores como sus defensores, y se ha convertido en un termino que casi todos conocemos, pero cuyas implicaciones no nos son siempre claras.

Incluso, el SPAM ahora puede llegar a ocasionar daños económicos tangibles a los usuarios de internet, más específicamente, a aquellos con dispositivos móviles de telefonía con servicio SMS de pago, dado que estos deben abonar un costo por cada mensaje que reciben, y cada vez más de estos nunca fueron solicitados por ellos.

Pero, de todos modos, este artículo no busca ser otro más de aquellos que analizan las mil y una razones por las que el correo no solicitado no es bueno para el usuario de internet, ya que hay muchos y muy buenos, y de nada sirve reescribirlos sin aportar nada nuevo. El verdadero interés detrás de este escrito es plantear una problemática bastante común, que se relaciona con las soluciones Anti-SPAM existentes y que ocasionan, colateralmente, daños a la imagen de empresas, servicios y usuarios que nada tienen que ver.

Las Black Lists (BL), o Listas Negras

Existen muchas herramientas que permiten, de una forma ú otra, combatir el SPAM, aunque ninguna se ha demostrado infalible hasta ahora. De hecho, el correo no solicitado es muy difícil de combatir ya que, a diferencia de los virus, varia constantemente y existen miles de personas en todo el mundo aprovechándose de él.

Para luchar contra él, algunas organizaciones sin fines de lucro (y otras que venden servicios comerciales relacionados) implementaron las llamadas Listas Negras. Básicamente, éstas no son más que listados de direcciones IP o dominios de dónde se ha detectado el envío masivo de correo no solicitado.

También existen otros tipos de listas que en lugar de almacenar aquellas direcciones de donde se recibe SPAM, controlan aquellos servidores desde dónde podría enviarse, como lo son los que permiten el envío de correo sin necesidad de autenticación alguna, funcionamiento conocido como Open Relay.

Entre las BL más utilizadas se encuentra SpamCop.net, que se maneja en base a donaciones, y por el lado de las bases de datos de servidores Open Relay, podemos encontrar ORDB:ORG, o Relay Stop List, de Visi.com, tan sólo por nombrar algunas.

Los administradores de servidores cuentan con herramientas simples que les permiten filtrar el correo recibido contra una o varias de estas listas y así rechazar aquel que sea reconocido como proveniente de un Spammer listado en una BL o base de datos de servidores Open Relay.

BLQ es una utilidad gratuita para plataformas Unix que permite hacer esto, y Mail Abuse Prevention System es un servicio al que un administrador puede suscribirse para recibir listados de servidores problemáticos y utilizarlos en sus propias aplicaciones de filtrado de SPAM.

Pero no sólo los administradores cuentan con formas de combatir el SPAM a través de las Listas Negras, sino que es posible encontrar también herramientas para los usuarios finales que se integran con su cliente de correo y le permiten realizar un chequeo de todos los mensajes que recibe para bloquear aquellos listados como provenientes de spammers.

Hasta aquí la situación parece bastante simple: si ud. envía SPAM, su servidor será listado y expuesto, y así los administradores y usuarios podrán actualizar su software para dejar de recibir sus molestos y, más importante aún, nunca solicitados mensajes.

El problema

Básicamente, la cuestión que se plantea en este artículo se ocasiona debido al funcionamiento mismo de internet. Como todos uds. seguramente sabrán, en internet podemos encontrarnos con algo llamado direcciones IP (Internet Protocol). Estas direcciones no son más que un numero de identificación para un equipo conectado a una red que permiten diferenciarlo del resto. Por ejemplo, una dirección IP podría ser 216.239.39.101.

Asociados a estas direcciones IPs suelen existir dominios, los cuales son nombres sencillos de recordar, como virusattack.com.ar o google.com. Para cada uno de estos dominios existe una dirección IP, aunque la relación no es inversamente proporcional, dado que una dirección IP puede representar a muchos dominios.

Esto sucede cuando en un mismo servidor están alojados distintos sitios o servicios de internet, como cuando una empresa contrata un servicio de hosting externo, el cual puede ser contratado por otras empresas que también alojarán sus sitios en los mismos servidores.

Las grandes empresas suelen poder afrontar los gastos de tener sus propios servidores de internet, y por lo tanto, sus dominios pertenecen a sus direcciones IP. Pero, otras compañías y emprendimientos con menos recursos no pueden hacer esto, y deben contratar planes en proveedores de hosting pago como ElServer.com o Ferca.com, por nombrar algunos.

Estos proveedores, por un bajo costo, le ofrecen la posibilidad de incluir su sitio en internet, alojándolo en sus servidores compartidos, donde otros sitios de otras empresas también conviven. Allí es donde comienza el problema.

Vayamos a un ejemplo práctico: el sitio inocente.com está alojado en el mismo proveedor de alojamiento web que spammer.com, y comparten, físicamente, el mismo servidor, con la misma dirección IP asignada. El sitio spammer.com se dedica a enviar correo no solicitado a cuanta dirección de email cae en sus manos, y por ello termina siendo incluido en las principales Listas Negras de internet. ¡Bingo! A partir de ese momento, como inocente.com comparte el mismo servidor que spammer.com, las Listas Negras (y las aplicaciones que se basan en ellas) creerán que también es un dominio desde el que se envía SPAM.

Luego, el gerente general de la empresa cuyo sitio es inocente.com intenta enviar un mensaje a un importante cliente y el servidor de correo de éste le responde diciendo que su mensaje no llegará a destino ya que fue encontrado listado como spammer. Eso causará un grave daño a la imagen de seriedad que la empresa inocente.com intenta mostrar, además de posibles pérdidas económicas al no poderse comunicar con su cliente. Todo un problema, ¿no? Y lo más interesante, como consecuencia de aquellas iniciativas dedicadas a combatir el SPAM.

Para solucionarlo, el gerente general de inocente.com (o, seguramente, su responsable técnico) deberá comunicarse con su proveedor de hosting para informarle del problema, y los administradores de éste, intentar delistar sus servidores de la Lista Negra y cancelar el servicio que prestan a spammer.com, aunque el daño ya ha sido causado.

Incluso, aunque parezca sencillo, el trámite de delistar un dominio o dirección IP de una Lista Negra puede llegar a ser imposible. Existen muchas de éstas que una vez han listado a un posible spammer, no lo quitan fácilmente, dificultando notablemente la tarea de limpiar el buen nombre del sitio inocente.com.

Este problema no sólo afecta a las empresas, sino a los usuarios finales. Muchas veces sitios como Hotmail, Yahoo! o proveedores de acceso a internet más pequeños son incluidos en estas Listas Negras, y por lo tanto, los correos de sus usuarios no llegan a destino al ser considerados como no solicitados por las aplicaciones de filtrado de correo instaladas en los servidores de sus receptores.

Las soluciones

La forma de resolver este problema depende de dónde se haya listado nuestro sitio o dominio de internet. Si ha sido incluido en una de las bases de datos que almacenan direcciones de servidores que permiten el envío anónimo de correos (Open Relay, por ejemplo), debemos hacer que nuestro proveedor (o administrador de los servidores de nuestra empresa) agregue autenticación al servidor de envío de correo de manera que sólo pueda ser utilizado por usuarios autorizados.

Pero, cuando se trata de un dominio o dirección IP incluido en una Lista Negra, la tarea no es tan sencilla. En primer lugar, no existe una forma de que no ser listado, ya que si el administrador de una Lista Negra recibe reportes de que se está recibiendo SPAM desde una dirección IP, agrega a ésta a su lista, sin importar que la misma esté asociada a 200 dominios más que posiblemente no tienen nada que ver.

Lo mismo sucede cuando las Listas Negras incluyen las direcciones IP que los proveedores de acceso a internet asignan aleatoriamente a sus clientes. Por ejemplo, si el usuario Spammer tenía, asignada por su proveedor, la dirección 24.232.89.210, y ésta era incluida en una Lista Negra debido a que dicho usuario envió correo no solicitado, cuando éste se desconecte, es posible que dicha dirección sea asignada a un nuevo usuario y él mismo nada tenga que ver con el envío de SPAM.

Y, como si esto fuera poco, en la mayoría de los países aún no existe penalización alguna para el envío de correo no solicitado, por lo que tampoco es posible combatir el SPAM a través de la ley, y así evitar que las prácticas antes mencionadas se vuelvan comunes y nos afecten indirectamente.

Entonces, la verdad es cruel: no existe una forma 100% segura de que su equipo, servidor, dominio o dirección IP jamás sea incluida en una Lista Negra. Lo que si es posible es que, en conjunto con su proveedor de internet, se lleven adelante tareas que lo mantengan fuera de las Listas Negras la mayor cantidad de tiempo posible:

• Si tiene un servidor de envío de correo electrónico funcionando, configúrelo para que utilice un método de autenticación de usuarios y no permita el envío anónimo de mensajes o su utilización como Relay.
  
• Si ud. provee alojamiento web o servicios de correo electrónico a terceros, realice un control periódico de sus direcciones y dominios contra las principales Listas Negras para actuar rápidamente si ha sido listado.
  
• Si detecta el uso indebido de su servidor por un cliente, dé de baja automáticamente su cuenta de usuario. Esta medida podrá hacerle perder un cliente, pero evitará que pierda muchos si sus servidores son constantemente listados.
  
• Si ud. administra una Lista Negra o desarrolla una aplicación relacionada a su manejo, tenga en cuenta esta problemática e implemente un contacto periódico con proveedores de alojamiento web para evitar este tipo de confusiones y problemas.
  
• Si ud. ha instalado un programa de filtro de correo AntiSPAM en su servidor, verifique que utilice Listas Negras que brinden un método simple para delistar direcciones IP. Basándose en una lista extremadamente estricta y cerrada podrá hacerle perder correo importante como si fuera SPAM.
• Y tanto para usuarios como administradores, apoye las campañas en contra del Spam que se llevan adelante en la red. Además, evite divulgar su dirección de correo electrónico en foros públicos, sitios no confiables y todo aquel lugar de dónde un spammer pudiera recuperarla para agregarla a su lista de futuras víctimas.

Como el conocido gusano de internet W32/Klez.h, el SPAM puede dañar nuestra credibilidad considerablemente, además de ocasionarnos contratiempos importantes, e incluso pérdidas económicas. Si no se implementan soluciones completas a este problema, el correo no solicitado terminará por ser todo el correo que recibamos.

Más información

Rompecadenas - Spam
http://www.rompecadenas.com.ar/spam.htm

SpamCon Foundation - Black Lists
http://www.spamcon.org/directories/shared-blacklists.shtml