Bogotá D.C.

,
09 de Mayo de 2022

Señores:
Connect Telecom S.A.S

ACLARACINES CON RESPECTO AL LISTAMIENTO DE DIRECCIONES IP

Cordial saludo, el reporte de una dirección IP en las listas negras, se debe a varias razones, a saber:
• Generación de correo SPAM, el cual se puede producir por virus informáticos, troyanos y
adaware sin que el usuario sea consciente de este tipo de actividad. Pero también, se puede
producir conscientemente, por el envío masivo de correo publicitario usando programas
especiales para tal fin.
• Utilización de redes privadas virtuales (VPN) para acceder a plataformas de streaming o
videojuegos y de esta forma burlar el control de contenido zonal que estas tienen
implementadas.
• Uso de cuentas ilegales (piratas) para el acceso a plataformas de streaming o videojuegos.
• Generación de ciberataques a sistemas informáticos como DDoS, Phishing o Malaware.

Estas son las razones más comunes, por las cuales una dirección IP pública termina reportada en listas
negras. Para evitar esta situación, es necesario implementar mecanismos de seguridad perimetral
(firewall, Inspección de paquetes DPI, sistemas de detección y/o prevención de intrusiones IDS/IPS,
sistemas antiDDoS, pasarelas antivirus y antispam, etc.) al interior de la red LAN, que revisen y
supervisen permanentemente el tráfico y la actividad de la red LAN y de esta forma prevenir que se
presenten las situaciones antes mencionadas.

Dicho lo anterior, se entiende que es responsabilidad exclusiva del usuario del uso que le da a los
recursos asignados y que, si no se toman las medidas necesarias asegurar el tráfico de la red LAN, los
reportes a las listas negras se volverán a presentar, con cualquier pool que el canal esté usando.

SOLICITUD ELIMICACION DE IPS DE LISTA NEGRAS

Las acciones de remoción son independientes de cada lista. Cada lista tiene un procedimiento de
remoción, Las se limitan a la solicitud de remoción de la dirección IP de la lista. Esto no garantiza que
la IP va a ser removida ni se tienen acuerdos de nivel de servicio con estas organizaciones que
aseguren un tiempo específico para la remoción.

A continuación, se relaciona un manual para la solicitud de eliminación de listas negras, recuerde que
cada lista tiene su proceso diferente,
Consultar la IP que desea limpiar en la página https://mxtoolbox.com/blacklists.aspx

Una vez consultada la ip, nos arroja el listado de paginas en la cual esta esta enlistada,
procedemos a darle click en Detail

En Detail nos indica en que pagina esta reportada y la URL de dicha pagina a la cual nosotros debemos
dar click
Hasta este paso es lo general que se debe realizar para la consulta, puesto que desde ahora depende
que donde este enlistado será un proceso diferente, para este caso puntual en Rats, daremos click en
la opción de Removal, e ingresamos la ip de consulta. Y damos Check.
Para este caso puntual la ip 45.179.244.101 tiene un problema con el reverso, por lo cual ustedes deben
tomar las acciones correspondientes para este problema.

Se relaciona otro ejemplo común de sitio de lista negras, por temas de Spam,
https://www.spamhaus.org en esta página vamos a la opción de Blocklist Rmoval .

Ingresamos la ip a consultar y damos en Lookup

Nos indica que esta ip esta agregada, unas recomendaciones de la página y demás y en la parte de
inferior sale Show Details

Se aceptan políticas de la Paginas y se le da en Next Steps

Se diligencia la información muy importante, ingresar un correo al cual se tenga acceso. Puesto que ahí
nos llegara una confirmación del proceso que estamos realizando
Confirmación del envió del correo
Se valida en el correo la notificación de la pagina y damos click en el link.
El cuál es la finalización del proceso de forma satisfactoria,

FIREWALL SUGERIDO

Al eliminar las ip de las listas negras no asegura que las vuelvan a agregar, por lo cual desde el área de
ingeniería de IMS se sugiere sea implementados firewall y seguridad perimetral en su red. Por lo cual
se relaciona un firewall el cual puede implementar en su red revisándolo y ajustándolo a su
configuración de equipos.

/ip firewall filter

add action=accept chain=forward comment="REGLA_SPAMWARE_permite el correo real que no
exceda 5 segundos" limit=5,5:packet protocol=tcp src-port=\
110,143,2525,8025,25,138,995,465
add action=drop chain=forward comment="REGLA_SPAMWARE_bloquea el trafico de correo que
exceda 5 segundos" limit=5,5:packet protocol=tcp src-port=\
110,143,2525,8025,25,138,995,465

----------------------En esta in-interface es la interface WAN, si tiene varias se pone por cada una ----
----------------------------------- /ip firewall filter

add action=drop chain=input comment=REGLA_BLOQUEO_PETICIONES_PROXY dst-

port=999,8080 in-interface=(WAN del cliente) protocol=tcp

add action=drop chain=forward in-interface=(WAN del cliente) src-address-list=spammer add

action=add-src-to-address-list address-list=spammer address-list-timeout=3h chain=forward dst-
port=25,110,465,143,2525,8025,138,995 in-interface=(WAN del cliente) protocol=tcp

-----------------------------------------------------------------------------------------------

/ip firewall filter

add action=drop chain=input comment=":::::::::::::::::Bloquear conexiones PPTP
externas::::::::::::::::::::" dst-port=1723 protocol=tcp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w
chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="dropping port scanners" src-address-list="port
scanners" add action=drop chain=forward comment="Filtra paquetes invalidos" connection-
state=invalid add action=drop chain=input comment="Bloquear Ataques FTP" dst-port=21
protocol=tcp srcaddress-list=ftp_blacklist
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-
timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=add-src-to-address-list address-list="Port scanners" address-list-timeout=2w
chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add
action=add-src-to-address-list address-list="Port scanners" address-list-timeout=2w chain=input
comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Bloquear Ataques FTP" dst-port=21 protocol=tcp
srcaddress-list=ftp_blacklist
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-
timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="Proteccion VSC contra ataques via SSH" dst-port=22
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d
chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\ ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input
connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="Drop FTP Brute Forcers" dst-port=21 protocol=tcp
srcaddress-list=ftp_blacklist
add action=add-src-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input
connection-state=new dst-port=21 protocol=tcp src-address-list=\ ftp_stage3
add action=add-src-to-address-list address-list=ftp_stage3 address-list-timeout=1m chain=input
connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage2
add action=add-src-to-address-list address-list=ftp_stage2 address-list-timeout=1m chain=input
connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m chain=input
connection-state=new dst-port=21 protocol=tcp
add action=drop chain=input comment="Drop Telnet Brute Forcers" dst-port=23 protocol=tcp
srcaddress-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1d
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\ telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\ telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\ telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp

add action=jump chain=input comment="############################## PROTECCI\D3N AL

ROUTER MIKROTIK #########################################################" \
jump-target=COMENTARIO src-address=222.0.0.0
add action=accept chain=input comment="permitir ping" limit=50/5s,2:packet protocol=icmp
add action=accept chain=input connection-state=established,related add action=drop
chain=input connection-state=invalid
add action=drop chain=input comment="bloquear port scanners " src-address-list="port
scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=\ fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=30m
chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add
action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m chain=input
comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop Winbox brute forcers" dst-port=8092 protocol=tcp
src-address-list=winbox_blacklist
add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=2w1d
chain=input comment="bloquear exceso de conexiones al winbox (3 conexiones )" \
connection-state=new dst-port=8092 protocol=tcp src-address-list=winbox_login3 add
action=add-src-to-address-list address-list=winbox_login3 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp src-address-list=\
winbox_login2
add action=add-src-to-address-list address-list=winbox_login2 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp src-address-list=\
winbox_login1
add action=add-src-to-address-list address-list=winbox_login1 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp add action=jump chain=forward
comment="######################## Protecci\F3n a los usuarios que estan atras del router
#############################################" \ jump-target=COMENTARIO src-
address=222.0.0.0
add action=accept chain=forward connection-state=established,related add
action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="bloquear exceso de conexiones al winbox (3
conexiones )" dst-port=22 protocol=tcp src-address-list=ssh-blacklist
add action=add-src-to-address-list address-list=ssh-blacklist address-list-timeout=2m
chain=forward connection-state=new dst-port=22 protocol=tcp src-address-list=ssh3 add
action=add-src-to-address-list address-list=ssh3 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh2
add action=add-src-to-address-list address-list=ssh2 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh1
add action=add-src-to-address-list address-list=ssh1 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp
add action=jump chain=forward comment="Bloquear virus" jump-target=virus add
action=jump chain=input jump-target=virus
add action=drop chain=virus comment="Blaster Worm" dst-port=135-139 protocol=tcp add
action=drop chain=virus dst-port=4444 protocol=tcp add action=drop chain=virus dst-
port=4444 protocol=udp add action=drop chain=virus dst-port=1433-1434 protocol=tcp
add action=drop chain=virus comment="Messenger Worm" dst-port=135-139 protocol=udp
add action=drop chain=virus comment="Blaster Worm" dst-port=445 protocol=tcp add
action=drop chain=virus comment="Blaster Worm" dst-port=445 protocol=udp add
action=drop chain=virus dst-port=593 protocol=tcp add action=drop chain=virus dst-
port=1024-1030 protocol=tcp
add action=drop chain=virus comment=" MyDoom" dst-port=1080 protocol=tcp
add action=drop chain=virus dst-port=1214 protocol=tcp add action=drop
chain=virus dst-port=3127-3128 protocol=tcp
add action=drop chain=virus comment="ndm requester" dst-port=1363 protocol=tcp add
action=drop chain=virus comment="ndm server" dst-port=1364 protocol=tcp add action=drop
chain=virus comment="screen cast" dst-port=1368 protocol=tcp add action=drop chain=virus
comment=hromgrafx dst-port=1373 protocol=tcp add action=drop chain=virus
comment=cichlid dst-port=1377 protocol=tcp add action=drop chain=virus comment="Bagle
Virus" dst-port=2745 protocol=tcp add action=drop chain=virus comment="Drop Dumaru.Y"
dst-port=2283 protocol=tcp add action=drop chain=virus comment="Drop Beagle" dst-
port=2535 protocol=tcp add action=drop chain=virus comment="Drop Beagle.C-K" dst-
port=2745 protocol=tcp add action=drop chain=virus comment="Drop Backdoor OptixPro"
dst-port=3410 protocol=tcp add action=drop chain=virus comment="Drop Sasser" dst-
port=5554 protocol=tcp add action=drop chain=virus comment="Drop Beagle.B" dst-
port=8866 protocol=tcp add action=drop chain=virus comment="Drop Dabber.A-B" dst-
port=9898 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=10000 protocol=tcp add
action=drop chain=virus comment="Drop MyDoom.B" dst-port=10080 protocol=tcp add
action=drop chain=virus comment="Drop NetBus" dst-port=12345 protocol=tcp add action=drop
chain=virus comment="Drop Kuang2" dst-port=17300 protocol=tcp add action=drop chain=virus
comment="Drop SubSeven" dst-port=27374 protocol=tcp add action=drop chain=virus
comment="Drop PhatBot, Agobot, Gaobot" dst-port=65506 protocol=tcp
add action=drop chain=virus comment="Drop Spammer" dst-port=25 protocol=tcp src-
addresslist=spammer
 add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=virus
comment="add to spammer list" connection-limit=30,32 dst-port=25 limit=50,5 \
protocol=tcp

RECOMENDACIONES Y BUENAS PRÁCTICAS PARA CLIENTES EN CASOS DE SPAM Y ENVÍO MASIVO

DE CORREO.

Recomendaciones acerca de las buenas prácticas de envío masivo de correos, las cuales mejorarán o
mantendrán una buena reputación del direccionamiento lógico y a su vez evitara que el
direccionamiento IP sea incluido en listas negras, los cuales afectarán el servicio de correo:

• Organizar los nombres de usuarios por grupos o listas de distribución en forma detallada,
obteniendo selectividad en la información a transmitir y eficiencia en la red. Con esta buena
práctica también es posible evitar bloqueos por parte de otros proveedores de correo que
monitorizan la cantidad de mensajes desde una dirección IP y una vez se llega al máximo de
estos, se comienzan a rechazar.
• Revisar con frecuencia la lista de distribución, revisar los contactos o usuarios de correo con el
fin de descartar posibles cuentas malintencionadas configuradas en los servidores.
• Configurar lapsos de tiempo específicos entre envíos y recepción de mensajes, es decir,
programar una cantidad de correos masivos (alrededor de 30 o 40 mensajes) a transmitir en
intervalos de tiempo (por ejemplo: cada 3 min) y fuera de horas pico.
• Analizar lista de distribución y encabezados de mensajes tales como: “abuse, alarm, spam”.
• Depurar constantemente las listas de correo eliminando direcciones de correo inexistentes o
que presentan fallas al enviar correos.
• Manejar un sistema de RETIRO o BAJA de la lista de distribución de tal manera que los usuarios
puedan solicitar no recibir más correos por medio de la eliminación de la dirección de correo
de la lista.
• Culturizar a los usuarios de correo acerca del uso corporativo que debe darse, no aceptar
invitaciones, ni dar clic a enlaces no conocidos, no inscribir su cuenta de correo en link
sospechosos, e implementar el uso de contraseñas fuertes.
• Realizar envíos de mensajes de tamaño pequeño evita encolamientos y otro tipo de fallas en
los servidores de correo, además de un rechazo del correo por parte de terceros.
• Solicitar la configuración del registro PTR por un nombre no genérico que identifique que la
dirección IP corresponde a un servidor y no a un usuario dinámico con el fin de establecer un
nivel de confianza con otros servidores de correo (MTA) en cuanto a que el direccionamiento
IP y dominio utilizado son los autorizados.
• Configurar el SPF (Sender Policy Framework) en el registro DNS de tipo TXT del dominio del cual
se envía el correo y por medio del cual se autoriza a la dirección IP en cuestión a enviar correos
a nombre del dominio.
• Enviar correos únicamente del dominio autorizado de acuerdo con el SPF.
• Revisar direcciones IP de la LAN del cliente que generen mayor número de solicitudes al puerto
25, descartar virus en la red LAN del cliente
• El enlista miento de un direccionamiento IP sólo afecta el servicio de correo y evitarlo es
responsabilidad del cliente.
 • Depurar si los mensajes sospechosos de spam provienen siempre de un mismo pool de
direcciones

GRUPO DE INGENIERIA IMS

ingenieria@ims.net.co
Bogotá – Colombia