El enlatado de Ka, el Berliner (antes Shanghaines)

El negocio del SPAM

Hace tiempo que vivo luchando (como administrador de sistemas, esto es literal) contra el SPAM. Mi pregunta siempre ha sido ¿por qué el SPAM? ¿De verdad alguien saca algo en claro / provechoso del SPAM? ¿Acaso alguien hace dinero del SPAM?

No creo que haya nadie tan pringado como para comprar Viagra en sitios web con direcciones super raras porque les llegue un email vendiendo "V!agra" (para evitar la detección de la palabra por los sistemas anti-spam), ni tampoco creo que nadie crea que internet puede alargar su pene, o que la tremenda chica rusa de la foto quiere realmente encontrar el amor en España. Por no hablar de los familiares de exgobernantes Nigerianos que tienen que blanquear dinero en Europa...

Así pues, una marea tan inmensa como el SPAM, tiene que tener algún fin útil para alguien. Y en este mundo en el que vivimos, "un fin útil" siempre equivale a pasta.

Así que analicemos... ¿Quién podría sacar dinero de mandar SPAM? Mi primer hilo de pensamiento siempre me llevó a algún tipo raro de competencia desleal entre proveedores de correo, puteando a los demás para vender sus servicios como "el que menos spam tiene en el mundo". Pero como apenas nadie se vende así (salvo quizá Gmail), creo que esa no es la razón última.

Durante mis años de lucha anti-spam he usado mogollón de métodos: desde el más básico (y torpe, pero sencillo) filtrado por palabras clave en el asunto o el cuerpo del mensaje, hasta los filtros más complejos de spamassassin, pasando por listas negras distribuidas, servicios online de listado de "open relays", SPF, Domain-keys, tácticas de análisis de cabeceras e incumplimientos de protocolo...

Prácticamente ningún sistema es calificalble de "perfecto". Por norma general, siempre es difícil colocar el límite entre lo que se considera aceptable y lo que se considera SPAM. Si te pones muy estricto terminas rechazando correo legítimo (también llamado HAM, en memoria de un sketch de los Monty Python), y si no, terminas recibiendo cantidades asombrosas de correo basura.

Ayer mismo implementé el último sistema anti-spam: las listas grises. Por definición, una lista negra y una lista blanca se entienden perfectamente, pero la lista gris es un sistema que se basa en el rechazo temporal del correo. Este rechazo no es una devolución, sino una notificación de acuerdo al protocolo de intercambio de correo que indica al servidor emisor que el servicio no está disponible temporalmente (aunque lo esté) y le pide que lo reintente más tarde. Si el servidor que envió el correo está correctamente configurado y responde al protocolo SMTP, reintentará el envío diligentemente pasados unos minutos, y entonces nuestro sistema de lista gris detectará que cumple con el protocolo y permitirá la entrega, agregando además el par emisor-receptor a una lista blanca temporal. En la inmensa mayoría de los casos de SPAM, el servidor usado para enviarlo es un sistema temporal que finge ser un servidor correctamente configurado, y que por lo tanto no responde al protocolo. Esto significa que nunca reintentará este tipo de rechazos temporales, con lo cual el correo jamás será entregado al pobre receptor.

Después de un día funcionando con este sistema, no he recibido ni un sólo correo basura.

Pero volviendo al tema anterior, la implementación de las listas grises me permite deshabilitar uno de los (hasta ahora) más efectivos sistemas de control de spam: las listas negras distribuidas. Este tipo de listas negras consiste en empresas que ofrecen un servicio (algunas de pago, otras -la mayoría hoy en día- gratis) por el cual identifican servidores de correo (por IP o por nombre) como ilegítimos, ya sea por ser "open relay", por pertenecer a un bloque de IPs dinámicas, o incluso por haber detectado spam desde esos servidores en buzones títere llamados "spamtrap".

Y si hasta ahora ha sido tan efectivo, ¿por qué querría yo deshacerme de este sistema? La respuesta está directamente relacionada con el asunto de este post. Ya sé quién hace dinero del SPAM: las empresas anti-spam. El modelo de negocio es tan sencillo y lucrativo como el de las empresas anti-virus: ¡tú mismo puedes crear tu propia demanda!

Hace tiempo me encontré con que una de las empresas más relevantes de distribución de listas negras había incluído mi servidor en una de sus listas. El motivo resultó ser que otro servidor que está en la misma red que el mío ha enviado repetidamente spam a direcciones de "spamtrap". Su política consiste en listar todo el bloque de red IP como culpable del SPAM (en lugar de sólo la IP del servidor que envió el SPAM).

Para que nos entendamos, esto es como si un ciudadano de un país árabe atenta contra un país occidental, y automáticamente todos los controles de seguridad consideran culpable a cualquier árabe/musulmán que vean. Ah, coño, que esto también se hace en la realidad... ¿Acaso es justo? ¡Paguemos todos por los pecados del vecino!

Cuando solicité que me sacaran de la lista negra, la empresa me indicó que su política es inalterable, y que aunque saben que mi servidor nunca ha enviado SPAM, no van a sacarme de la lista hasta que mi proveedor se ponga en contacto con ellos. Pero la cosa no acaba ahí, no... porque, ¿de qué vive esta empresa (SORBS)? Pues este es el final de toda la cadena: SORBS impone a los proveedores de internet un sistema de "multas" por el cual deben PAGAR a SORBS para eliminar sus IPs de sus listados. A mayor reincidencia, mayor multa.

¿Qué implica esto? Para el proveedor, que sus IPs (por las que paga una pasta) están injustamente incluídas en listas negras de SPAM, por lo cual no podrán venderlas a sus clientes, sin entrar en el aro de pagar el impuesto revolucionario de la lista negra. Para el usuario como yo, esperar indefinidamente hasta que mi proveedor se decida a pasar por el aro, o cambiar de proveedor.

Lo peor de todo es la terrible sospecha de que el propio intersado en crear su propia demanda podría sin ningún problema, contratar un servidor en mi proveedor, configurarlo deliberadamente para ser usado como spam, y hacer que la rueda gire, y la caja siga sumando...

Y este tocho, amiguitos, es para ilustraros sobre por qué nada es gratis en el mundo y cómo nos torean y putean sistemáticamente para hacer caja a nuestra costa. Yo, mientras tanto, seguiré pagando a mi proveedor la cuota mensual del servidor, aunque mi correo no funcione bien porque está en una lista negra.

¿A que mola?