Tue, 9-03@05:07
El negocio del SPAM
Hace tiempo que vivo luchando (como administrador de sistemas, esto
es literal) contra el SPAM. Mi pregunta siempre ha sido ¿por
qué el SPAM? ¿De verdad alguien saca algo en claro /
provechoso del SPAM? ¿Acaso alguien hace dinero del
SPAM?
No creo que haya nadie tan pringado como para comprar Viagra en
sitios web con direcciones super raras porque les llegue un email
vendiendo "V!agra" (para evitar la detección de la palabra
por los sistemas anti-spam), ni tampoco creo que nadie crea que
internet puede alargar su pene, o que la tremenda chica rusa de la
foto quiere realmente encontrar el amor en España. Por no
hablar de los familiares de exgobernantes Nigerianos que tienen que
blanquear dinero en Europa...
Así pues, una marea tan inmensa como el SPAM, tiene que
tener algún fin útil para alguien. Y en este mundo en
el que vivimos, "un fin útil" siempre equivale a
pasta.
Así que analicemos... ¿Quién podría
sacar dinero de mandar SPAM? Mi primer hilo de pensamiento siempre
me llevó a algún tipo raro de competencia desleal
entre proveedores de correo, puteando a los demás para
vender sus servicios como "el que menos spam tiene en el mundo".
Pero como apenas nadie se vende así (salvo quizá
Gmail), creo que esa no es la razón última.
Durante mis años de lucha anti-spam he usado mogollón
de métodos: desde el más básico (y torpe, pero
sencillo) filtrado por palabras clave en el asunto o el cuerpo del
mensaje, hasta los filtros más complejos de spamassassin,
pasando por listas negras distribuidas, servicios online de listado
de "open relays", SPF, Domain-keys, tácticas de
análisis de cabeceras e incumplimientos de
protocolo...
Prácticamente ningún sistema es calificalble de
"perfecto". Por norma general, siempre es difícil colocar el
límite entre lo que se considera aceptable y lo que se
considera SPAM. Si te pones muy estricto terminas rechazando correo
legítimo (también llamado HAM, en memoria de un
sketch de los Monty Python), y si no, terminas recibiendo
cantidades asombrosas de correo basura.
Ayer mismo implementé el último sistema anti-spam:
las listas grises. Por definición, una lista negra y una
lista blanca se entienden perfectamente, pero la lista gris es un
sistema que se basa en el rechazo temporal del correo. Este rechazo
no es una devolución, sino una notificación de
acuerdo al protocolo de intercambio de correo que indica al
servidor emisor que el servicio no está disponible
temporalmente (aunque lo esté) y le pide que lo reintente
más tarde. Si el servidor que envió el correo
está correctamente configurado y responde al protocolo SMTP,
reintentará el envío diligentemente pasados unos
minutos, y entonces nuestro sistema de lista gris detectará
que cumple con el protocolo y permitirá la entrega,
agregando además el par emisor-receptor a una lista blanca
temporal. En la inmensa mayoría de los casos de SPAM, el
servidor usado para enviarlo es un sistema temporal que finge ser
un servidor correctamente configurado, y que por lo tanto no
responde al protocolo. Esto significa que nunca reintentará
este tipo de rechazos temporales, con lo cual el correo
jamás será entregado al pobre receptor.
Después de un día funcionando con este sistema, no he
recibido ni un sólo correo basura.
Pero volviendo al tema anterior, la implementación de las
listas grises me permite deshabilitar uno de los (hasta ahora)
más efectivos sistemas de control de spam: las listas negras
distribuidas. Este tipo de listas negras consiste en empresas que
ofrecen un servicio (algunas de pago, otras -la mayoría hoy
en día- gratis) por el cual identifican servidores de correo
(por IP o por nombre) como ilegítimos, ya sea por ser "open
relay", por pertenecer a un bloque de IPs dinámicas, o
incluso por haber detectado spam desde esos servidores en buzones
títere llamados "spamtrap".
Y si hasta ahora ha sido tan efectivo, ¿por qué
querría yo deshacerme de este sistema? La respuesta
está directamente relacionada con el asunto de este post. Ya
sé quién hace dinero del SPAM: las empresas
anti-spam. El modelo de negocio es tan sencillo y lucrativo como el
de las empresas anti-virus: ¡tú mismo puedes crear tu
propia demanda!
Hace tiempo me encontré con que una de las empresas
más relevantes de distribución de listas negras
había incluído mi servidor en una de sus listas. El
motivo resultó ser que otro servidor que está en la
misma red que el mío ha enviado repetidamente spam a
direcciones de "spamtrap". Su política consiste en listar
todo el bloque de red IP como culpable del SPAM (en lugar de
sólo la IP del servidor que envió el SPAM).
Para que nos entendamos, esto es como si un ciudadano de un
país árabe atenta contra un país occidental, y
automáticamente todos los controles de seguridad consideran
culpable a cualquier árabe/musulmán que vean. Ah,
coño, que esto también se hace en la realidad...
¿Acaso es justo? ¡Paguemos todos por los pecados del
vecino!
Cuando solicité que me sacaran de la lista negra, la empresa
me indicó que su política es inalterable, y que
aunque saben que mi servidor nunca ha enviado SPAM, no van a
sacarme de la lista hasta que mi proveedor se ponga en contacto con
ellos. Pero la cosa no acaba ahí, no... porque, ¿de
qué vive esta empresa (SORBS)? Pues este es el final de toda
la cadena: SORBS impone a los proveedores de internet un sistema de
"multas" por el cual deben PAGAR a SORBS para eliminar sus IPs de
sus listados. A mayor reincidencia, mayor multa.
¿Qué implica esto? Para el proveedor, que sus IPs
(por las que paga una pasta) están injustamente
incluídas en listas negras de SPAM, por lo cual no
podrán venderlas a sus clientes, sin entrar en el aro de
pagar el impuesto revolucionario de la lista negra. Para el usuario
como yo, esperar indefinidamente hasta que mi proveedor se decida a
pasar por el aro, o cambiar de proveedor.
Lo peor de todo es la terrible sospecha de que el propio intersado
en crear su propia demanda podría sin ningún
problema, contratar un servidor en mi proveedor, configurarlo
deliberadamente para ser usado como spam, y hacer que la rueda
gire, y la caja siga sumando...
Y este tocho, amiguitos, es para ilustraros sobre por qué
nada es gratis en el mundo y cómo nos torean y putean
sistemáticamente para hacer caja a nuestra costa. Yo,
mientras tanto, seguiré pagando a mi proveedor la cuota
mensual del servidor, aunque mi correo no funcione bien porque
está en una lista negra.
¿A que mola?
-kali dixit, kali drinkit- |
[enlace
permanente] | Categoria:
general