Kandadu: reglas de automatización para bloqueo de tráfico anómalo


#1

1. Introducción

kandadu dispone de un sistema de evaluación de tráfico asociado a las transacciones vista, y en gran medida al sistema GLD, que sirve como una antesala para evaluar volúmenes, destinatarios, etc, antes de dar paso, todo ello aplicado sólo a tráfico nuevo.

A continuación explicamos cuáles son las reglas de automatización, qué trafico son capaces de bloquear y en qué condiciones se aplican.

2. Reglas de automatización para el bloqueo de tráfico anómalo

Kandadu dispone de las siguientes reglas de automatización de bloqueo de tráfico y que funcionan para distintos casos. Cada una de estas reglas tienen un identificado de tipo (acción=1, acción=2, etc), para identificar mejor qué aplicó el bloqueo y bajo qué criterios:

  1. [regla acción=1] Bloquear GLD smtp con mismo destino y origen:

    Permite bloquear automáticamente IPs remitentes afectadas por cualquier regla GLD, en que estén utilizando como remitente el mismo valor que el destinatario.

    Característica: permite bloquear tráfico haciéndose pasar por el destinatario, indicándole fálsamente que la cuenta ha sido comprometida.

    Aplica: a la IP de origen de la transacción (source=).

    Requisitos para el bloqueo:

    • Que la IP de origen esté siendo bloqueada por una regla GLD
    • Que no se haya visto nunca anteriormente para el HUB consultado.
    • Que esté escribiendo a una cuenta de correo como destintario, usando el mismo valor para el remitente.
    • Protocolo: smtp
    • Contexto: cualquiera que no sea “helo” o “smtp:helo”.
  2. [regla acción=2] Bloquear GLD smtp usando misma dirección de origen y múltiples destinos:

    Permite bloquear direcciones IP remitentes que están siendo afectadas por una regla GLD, y dentro de ese tránsito, escribe a multiples direcciones destinatarias.

    Característica: permite bloquear tráfico de spam/phshing/hacking explosivo, repentino, desde ips nunca vistas antes, y contra múltiples destintarios en un espacio corto de tiempo.

    Aplica: a la IP de origen de la transacción (source=). También aplica al dominio base usado como sender= en caso de que dicho dominio base no sea conocido y coincida su uso en todos los registros GLD vistos para la IP remitente.

    Requisitos para el bloqueo:

    • Que la IP de origen esté siendo bloqueada por una regla GLD
    • Que no se haya visto nunca anteriormente para el HUB consultado.
    • Que el remitente IP escriba a distintas direcciones de destino estando afectado por una regla GLD.
    • Protocolo: smtp
    • Contexto: cualquiera que no sea “helo” o “smtp:helo”.
  3. [regla acción=3] Bloquear GLD smtp con dominio base de origen usado para múltiples instancias de origen:

    Permite bloquear dominios dominios base usados por cuentas de correo remitentes y urls remitentes, que están siendo bloqueadas por distintas reglas GLD, en un intento de randomizar cuentas y urls remitentes, creando distintos espacios GLD, pero realmente es el mismo atacante/spammer.

    Característica: permite bloquear dominios base cuando son usados para generar randomizaciones (xxxx@dominiobase.com, yyyy@dominiobase.com, zzz@sender.dominiobase.com).

    Aplica: cualquier dominio base dado soporte a dominios y cuentas de correo afectadas por reglas GLD (source=).

    Requisitos para el bloqueo:

    • Que el dominio base esté dando soporte a cuentas de correo y otros subdominios afectados por reglas GLD.
    • Que no se haya visto nunca anteriormente dicho dominio base para el hub consultado.
    • Protocolo: smtp
    • Contexto: cualquiera que no sea “helo” o “smtp:helo”.
  4. [regla acción=4] Notificar si se rechaza (incluye rechazos GLD temporales):

    Regla para activar el sistema de notificación de rechazo. Vea más detalles en:

  5. [regla acción=5] Bloqueo automatizado para remitentes IP enviando urls bloqueadas:

    Permite bloquear direcciones IP remitentes, no marcardas como seguras y sin la marca de rechazo desactivado, y que han sido detectadas enviando URLs que han sido bloqueadas por la plataforma.

    Característica: permite bloquear URLS con spam/phshing/hacking.

    Aplica: a la IP de origen de la transacción (source=). También aplica al dominio base usado en la url si el dominio no ha sido visto nunca. En el caso de que el remitente haya utilizando un email de un hub público (gmail.com, hotmail.com, etc.), entonces también se aplicaría bloqueo si no ha sido vista nunca.

    Requisitos para el bloqueo:

    • Que la IP de origen sea remitente de contenido con URL bloqueadas.
    • Opcionalmente: para el dominio base de la URL: se aplica bloqueo si el dominio no ha sido visto previamente.
    • Opcionalmente: remitentes de hubs de correo público (gmail.com, hotmail.com…).
    • Protocolo: smtp
    • Contexto: cualquiera que no sea “helo” o “smtp:helo”.
  6. [regla acción=6] Bloqueo automatizado para remitentes rechazados:

    Bajo ciertas circunstancias la plataforma puede rechazar correos debido a que usan descripciones que abusan de las reglas de formato y/o reglas similares. En esos casos, esta regla de automatización permite bloquear el dominio base de dichas cuentas bloqueadas (salvo que el dominio base no esté configurado con la marca de rechazo desactivado o sea un dominio seguro).

    Característica: permite bloquear el dominio base de cuentas de correo bloqueadas.

    Aplica: al dominio base de cuentas rechazadas (sender=)
    Requisitos para el bloqueo:

    • Que el dominio base pertenezca a una cuenta que haya sido rechazada.
    • Protocolo: smtp
    • Contexto: cualquiera que no sea “helo” o “smtp:helo”.