Ir al contenido principalIr al pie de página
reportedIP
Documentación para desarrolladores APIReportedIP y ecosistema deReportedIP
API v2

Zona DNS / RBL

Consulta la lista negra ReportedIP como una lista de bloqueo de DNS (DNSBL / RBL) directamente desde tu servidor de correo o cortafuegos. Cada suscripción proporciona una cadena de zona privada, autenticada mediante un token, que puedes añadir a Postfix, Rspamd, una RPZ de BIND o cualquier software compatible con RBL.

La zona DNS/RBL es un complemento de pago disponible en los planes PRO, Business Enterprise. Suscríbete desde tu panel de control para recibir tu token.

Tu cadena de zona

Una vez te hayas suscrito, aparecerá un token en tu panel de control. Tu cadena de zona es:

DNS 
<your-token>.bl.reportedip.de

El servidor de correo antepone la dirección IP del cliente invertida. Por ejemplo, al comprobar 1.2.3.4 consultas 4.3.2.1.<your-token>.bl.reportedip.de y lee la respuesta.

IPv6 se admite de la misma manera, utilizando el formato de cuartetes invertidos (como en ip6.arpa): los 32 nibbles hexadecimales de la dirección completamente desarrollada, empezando por el menos significativo, seguidos de .<your-token>.bl.reportedip.de. La mayoría de los servidores de correo lo generan automáticamente.

Códigos de retorno

Un récordSignificadoMedida recomendada
127.0.0.2Incluido en la lista — alta fiabilidad (≥ 90)Rechazar
127.0.0.3Incluido en la lista — nivel de confianza medio (75–89)Rechazar o puntuar
NXDOMAINLimpio (o no pertenece a la categoría solicitada)Aceptar
127.255.255.251Se ha alcanzado el límite diario de consultasAñadir otra ficha / Actualizar
127.255.255.252Token no válido / suscripción inactivaComprobar el token y la facturación

Punto de prueba (según el RFC 5782): búsqueda 127.0.0.2 — es decir, consultar la forma invertida 2.0.0.127.<your-token>.bl.reportedip.de — siempre devuelve 127.0.0.2, para que puedas comprobar tu configuración sin necesidad de una dirección real. La misma dirección de prueba en IPv6 es su forma mapeada ::FFFF:7F00:2 (consultado como nibbles invertidos), lo que también devuelve 127.0.0.2. El punto de prueba está exento de la cuota diaria y del límite de tarifas.

Además de estas respuestas de registros A, una consulta que supere el límite de solicitudes por token se responde con REFUSED en lugar de una dirección (véase la sección «Límites y almacenamiento en caché» más abajo).

Añádelo a tu servidor de correo

Evita que tu token aparezca en los registros y en los mensajes de error. Tu token es una credencial de acceso privado. Por defecto, la mayoría de los programas RBL colocan el cadena de zona completa —incluido tu token— en el mensaje de rechazo SMTP (el 554 (la respuesta que recibe el servidor remitente) y en tu registro de correo. Esto expone el token a todos los remitentes bloqueados y a cualquier persona con acceso al registro. Sustituye siempre el texto de rechazo por un mensaje estático que no contenga la cadena de zona, tal y como se muestra a continuación. Si en algún momento se expone tu token, cámbialo desde tu panel de control.

Postfix

Añade la zona a tus restricciones como una entrada simple — No añadas el texto de rechazo en línea (Postfix lo interpretaría como otra restricción y daría un error con unknown smtpd restriction: "554"). La respuesta personalizada debe incluirse en una directiva independiente.

El sencillo reject_rbl_client Esta directiva abarca tanto a los remitentes IPv4 como a los IPv6: Postfix genera automáticamente la consulta inversa para cualquiera de las dos familias (sin necesidad de una configuración específica). Las consultas a listas negras de DNS (DNSBL) de IPv6 requieren Postfix 2.6 o una versión posterior, es decir, todas las versiones compatibles actualmente.

conf 
# main.cf
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_rbl_client <your-token>.bl.reportedip.de=127.0.0.[2..3],
    ...

Recomendado: respuesta por zona. La mayoría de los servidores consultan más de una lista de bloqueados, así que utiliza rbl_reply_maps: sustituye el texto de solo esta zona y mantiene tu token fuera del rebote y del registro, mientras que Spamhaus y compañía mantienen sus propias respuestas predeterminadas.

conf 
# main.cf
rbl_reply_maps = texthash:/etc/postfix/rbl_reply

# /etc/postfix/rbl_reply  (texthash: needs no postmap)
<your-token>.bl.reportedip.de    554 5.7.1 Blocked - your IP is listed at reportedip.de

Actualizar con postfix reload. El remitente (y tu registro) mostrarán entonces solo 554 5.7.1 Blocked - your IP is listed at reportedip.de — El símbolo nunca aparece.

¿Solo la lista de bloqueados? Si ReportedIP el solo La lista DNSBL que consultas: la versión global en una sola línea default_rbl_reply = 554 5.7.1 Blocked - your IP is listed at reportedip.de hace lo mismo. Evítalo si utilizas varias listas de bloqueo, ya que les enviaría a todas la misma respuesta.

Rspamd

conf 
# local.d/rbl.conf
rbls {
  reportedip {
    rbl = "<your-token>.bl.reportedip.de";
    ipv4 = true;
    ipv6 = true;
    returncodes {
      REPORTEDIP_HIGH   = "127.0.0.2";
      REPORTEDIP_MEDIUM = "127.0.0.3";
    }
  }
}

Rspamd solo añade un símbolo (por ejemplo, REPORTEDIP_HIGH) a la puntuación, por lo que el token no se envía al remitente. No lo incluyas tampoco en tus propios registros: evita registrar el nombre de host RBL resuelto en el nivel de depuración y no lo reveles en X-Spam-* encabezados.

Subzonas de la categoría

Filtra por tipo de amenaza insertando el identificador de la categoría antes de la zona:

DNS 
<reversed-ip>.<your-token>.<slug>.bl.reportedip.de

Bichos: spam, brute-force, cms-login, web-attacks, malware, ddos, fraud, infrastructure, apt. Solo se devuelve un resultado si la dirección IP figura en esa categoría.

Límites y almacenamiento en caché

Cada ficha incluye 100 000 consultas DNS al día (se reinicia a las 00:00 UTC). Cuando se alcanza el límite, el token vuelve 127.255.255.251 y deja de funcionar hasta el siguiente reinicio, por lo que debes suscribirte a un token adicional si necesitas más capacidad para más servidores de correo.

Un límite de rate por token de aproximadamente 50 consultas por segundo protege contra picos repentinos; los picos prolongados que superan ese nivel se contrarrestan con REFUSED. En condiciones normales de funcionamiento, no alcanzarás ninguno de los dos límites, ya que tu resolutor almacena las respuestas en caché: un resultado de la lista se almacena en caché durante 30 minutos (TTL 1800) y un NXDOMAIN durante 5 minutos (TTL 300), por lo que la mayoría de las consultas repetidas nunca salen de tu red.

La zona se actualiza a partir de la lista negra de la comunidad cada pocos minutos, por lo que las direcciones IP recién añadidas comienzan a bloquearse sin que tengas que hacer nada.

Estándares y compatibilidad

A continuación, la zona RFC 5782, el estándar DNSBL/DNSWL: IPv4 se consulta con los octetos invertidos, IPv6 con los ip6.arpa picoteos, el punto de prueba 127.0.0.2 siempre aparece en la lista, y el 127.255.255.0/24 ese rango está reservado para códigos de error (nunca se trata de una lista real). El formato «token-in-query» (<reversed-ip>.<your-token>.bl.reportedip.de) se ajusta a la convención de DNSBL con claves utilizada por servicios consolidados como el Servicio de Consulta de Datos de Spamhaus, por lo que cualquier software compatible con RBL —como Postfix, Rspamd o un BIND RPZ— funciona de inmediato sin necesidad de código personalizado.

A diferencia de la mayoría de las listas de bloqueo gratuitas y antiguas, que solo admiten IPv4, esta zona es compatible tanto con IPv4 como con IPv6.

Privacidad: Las direcciones IP consultadas no se almacenan más allá de las métricas agregadas de uso indebido.
Centrado en la seguridad
Conforme al RGPD
Fabricado en Alemania
Volver a la documentación