Criado Indomable

Un intento de Blog de Sebastián D. Criado – 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

relays.ordb.org bloquea los servidores de mail

Posted by criadoindomable en Miércoles, marzo 26, 2008 19:37

SeguridadNo importa cual sea, postfix, sendmail o qmail, si tenías relays.ordb.org configurado, se rechazarán los mails de todo el mundo.

El año pasado el servicio de relays.ordb.org dejo de estar accesible con lo cual, lo único que se obtenía era una larga lista de logs en los servidores de correo indicando que no fusionaba y hasta algunas misteriosas consultas al loopback.

En el día de ayer, y dado que todavía existían administradores de sistemas que tenían configurado a este servicio de RBL en sus servidores (con lo cual se seguían haciendo consultas) se decidió que todas las consultas que se realizarán se tomarían como POSITIVAS con lo cual, TODOS los mails entrantes serían rechazados por el servidor de mail ya que tomara a TODO el mundo como listado en su base de datos, como puede versé en el sitio de Dnsbl

3/26/08 Update: ORDB has “listed the entire world” – returning any query with a “listed” response. The result is that if you still have ORDB in your mail server config files, you’re now blocking 100% of your inbound mail. For anyone still trying to “use” ORDB, you’re not going to receive any inbound mail until you disable queries to it.

En lo personal esta medida me parece muy poco simpática y puede generar un rechazo para implementar cualquier otro sistema libre de RBL. Técnicamente le están dando la razón a quienes argumentan que si es libre no se cuenta con soporte lo cual es en su mayoría falso. -10 para quién tomo está decisión. Estoy seguro que habría otra forma de hacerlo sin perjudicar a muchos servidores. Un ejemplo (por el lado de aprender a palos) del control que hay que tener como administrador de sistemas.

About these ads

8 comentarios to “relays.ordb.org bloquea los servidores de mail”

  1. [...] ha sido cuestionada, debatida y genera polémica. Mi amigo Sebastián es uno de los que piensa que la movida fué poco simpática. Yo en parte disiento. Los administradores del servicio, mantenido gracias al esfuerzo personal de [...]

  2. Alfrenovsky said

    Hace MAS DE UN AÑO que el sistema dejó de funcionar.
    La unica forma de informarle a todos que NO HAY QUE USAR MAS ORDB es lo que se hizo. Si no ORDB iba a seguir recibiendo consultas y se iba a seguir generando trafico de DNS. Recordemos que las respuestas negativas de DNS no existen, se resuelve por timeout. Mucho tiempo esperando inutilmente.
    La gente usa RBLs sin saber que TODAS las RBLs estan mantenidas por gente sin autoridad para decidir que se lista y que no. No importa si son libres o comerciales. Es una herramienta muy util, pero no es válido rechazar mensajes porque “alguien” dice que el origen es malo, tonto y feo asi que siempre deben usarse con mucho cuidado y combinadas con otras técnicas.
    El Gurka dice que -10 para quién tomó esta desición, yo digo que -100 para el netadmin que todavia usaba ORDB y necesitó esto para enterarse.

  3. Tanto Mauri como Alfrenovsky se olvidan de algo que me parece importante destacar. No todos los servidores de correo tienen atrás a un administrador que los controle.
    Me ha tocado tener que lidiar con este problema arreglando configuraciones de otros y que han producido 1 o 2 días sin correo por el simple hecho que la empresa que lo tiene configurado, no tiene idea de que es así. Ellos solo vieron que no llegaban más correos.
    No me consta que se avisará que se iba a tomar una medida como esta, de haber sido así, seguro se hubieran podido hacer las cosas de otra manera, más pausada y evitando a toda costa la perdida del servicio.
    Y es aquí donde me quiero detener.
    El servicio de correo podrá ser considerado en la mayoría como un servicio no critico (hasta sus protocolos lo consideran así), pero la información que traen los correo si es critica en muchos casos.
    La medida lo que hizo fue un DoS a los servidores y de eso, no cabe duda. Se podrá discutir si está mal o bien lo que hicieron, pero el DoS se realizo y eso es lo que me parece que nunca tendría que haber pasado.

  4. Diego said

    Esto puede se que seceda tambien con los productos de Fortigate?

    Gracias y saludos

  5. No se, no lo conozco

  6. Mail de Mauri desde la lista UYLUG-LINUX:

    En el Fortigate. Entras en la GUI (la CLI es lamentable), SpamFilter
    (menú de la izq.), DNSBL & ORDBL y allí marcas, desmarcas lo que
    quieras… incluso puedes agregar nuevos.

    Ten en cuenta que no todos los Fortigate tienen esta función. Yo la
    encontré en un FG300 pero no en un FG800, así que YMMV.

    Saludos,
    Mauricio

  7. Acidus said

    Todos los Fgates tienen las mismas funciones, lo que los diferencia es la capacidad de throughput que pueden manejar.
    Lo que te pudo haber pasado es que hayan tenido distintas versiones de firmware.
    Slds

  8. [...] días que a los servidores que administraba le tuve que quitar el chequeo contra list.dsbl.org. Algo similar paso con relays.orbd.org en la mismo [...]

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

%d personas les gusta esto: