Zona RBL de DNS: consulta nuestra lista de bloqueos comunitaria desde tu servidor de correo
La lista negra ReportedIP es ahora una lista de bloqueo de DNS. Los servidores de correo y los cortafuegos pueden consultar en tiempo real las 11 134 direcciones IP incluidas en la lista (a fecha del 29 de mayo de 2026) a través de una zona RBL privada de DNS en bl.reportedip.de — Sin descargas de archivos, sin importaciones programadas, sin listas obsoletas.
La zona DNS/RBL es un complemento recurrente, disponible a partir del plan Professional. Suscríbete desde tu panel de control y obtendrás una cadena de zona autenticada mediante token para integrarla en Postfix, Rspamd, BIND RPZ o cualquier software compatible con RBL.
¿Qué es una zona RBL de DNS?
Una DNSBL (lista de bloqueo basada en DNS, también conocida como RBL) responde a una pregunta sencilla a través del DNS: ¿se sabe que esta dirección IP es maliciosa? En lugar de descargar un archivo y volver a cargarlo, el servidor de correo invierte la dirección IP de la conexión, le añade la zona y realiza una consulta DNS normal. La respuesta es un A registro en el 127.0.0.0/8 rango — o NXDOMAIN si la dirección IP está limpia.
Hasta ahora, nuestra lista negra solo se distribuía en formato de archivo (exportación en formato TXT/JSON y una subida diaria a Git). Esto funciona bien para los cortafuegos que importan listas, pero los servidores de correo y los filtros perimetrales esperan una lista negra de DNS (DNSBL) en tiempo real. La zona DNS/RBL cubre esa necesidad: la misma lista negra comunitaria que ya conoces, servida de forma autorizada a través de DNS y actualizada cada pocos minutos.
Cómo funciona la zona
Tu cadena de zona privada
Cada suscripción proporciona un token. Tu cadena de zona es <your-token>.bl.reportedip.de. Para comprobar una dirección IP, el servidor antepone la dirección invertida — comprobando 1.2.3.4 realiza una búsqueda de 4.3.2.1.<your-token>.bl.reportedip.de y lee la respuesta. El token limita el uso a tu cuenta, de modo que la zona sigue siendo resistente al uso indebido.
Los códigos de retorno se corresponden con el nivel de confianza
La puntuación de confianza la calcula previamente ReportedIP se codifica directamente en el código de respuesta, por lo que tu servidor de correo no necesita ninguna asignación adicional:
| Un récord | Significado | Medida recomendada |
|---|---|---|
127.0.0.2 | Incluido en la lista — alta fiabilidad (≥ 90) | Rechazar |
127.0.0.3 | Incluido en la lista — nivel de confianza medio (75–89) | Rechazar o puntuar |
NXDOMAIN | Limpio, o no pertenece a la categoría solicitada | Aceptar |
127.255.255.251 | Se ha alcanzado el límite diario de consultas | Añadir otra ficha |
127.255.255.252 | El token no es válido o la suscripción está inactiva | Comprobar el token y la facturación |
¿Quieres comprobar tu configuración sin una dirección real registrada? Una consulta de la IP de prueba 127.0.0.2 — consulta invertida como 2.0.0.127.<your-token>.bl.reportedip.de — siempre devuelve 127.0.0.2.
Filtrar por categoría de amenaza con subzonas
Introduce un slug de categoría antes de la zona para que solo coincida con un tipo de amenaza: <reversed-ip>.<your-token>.<slug>.bl.reportedip.de. Hay nueve subzonas disponibles: spam, brute-force, cms-login, web-attacks, malware, ddos, fraud, infrastructure y apt. Solo se devuelve un resultado si la dirección IP figura en esa categoría.
Añádelo a tu servidor de correo
Postfix
# main.cf
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_rbl_client <your-token>.bl.reportedip.de=127.0.0.[2..3],
...Rspamd
# local.d/rbl.conf
rbls {
reportedip {
rbl = "<your-token>.bl.reportedip.de";
ipv4 = true;
returncodes {
REPORTEDIP_HIGH = "127.0.0.2";
REPORTEDIP_MEDIUM = "127.0.0.3";
}
}
}BIND RPZ y cualquier otro software compatible con RBL funcionan de la misma manera: solo tienes que indicarle la cadena de tu zona. La guía de configuración completa, incluidas las subzonas de categorías, se encuentra en la documentación sobre zonas DNS/RBL. Para conocer el formato y el sistema de puntuación de la lista en sí, consulta la documentación sobre listas negras.
Límites, privacidad y precios
- 100 000 consultas DNS al día por token (se reinicia a las 00:00 UTC). Esto es suficiente para un servidor de correo con mucho tráfico o un pequeño clúster. Al alcanzar el límite, se devuelve
127.255.255.251hasta el reinicio: suscríbete a un segundo token para obtener más capacidad. - Privacidad desde el diseño. Las direcciones IP consultadas no se almacenan más allá de las métricas agregadas de uso indebido. La zona funciona en una infraestructura de la UE conforme al RGPD.
- 7,90 € al mes o 79 € al año, con el 19 % de IVA incluido. Disponible para los planes Professional, Business Enterprise. Se trata de una suscripción independiente que se suma a tu plan, y puedes cancelarla en cualquier momento a través del portal de facturación.
¿Por qué consultar una lista de bloqueo a través del DNS?
El DNS es el protocolo ideal para esta tarea. Las consultas se almacenan en la caché de tu resolutor, por lo que las comprobaciones repetidas se responden localmente en microsegundos. No hay que importar nada ni mantener nada sincronizado: la zona se actualiza continuamente a partir de los mismos datos que alimentan la inteligencia sobre amenazas de nuestra comunidad. Las direcciones IP que bloqueas son las mismas que están atacando miles de sitios de WordPress, tal y como se documenta en nuestro informe de ataques del fin de semana.
La mecánica sigue la convención DNSBL establecida desde hace tiempo y descrita en el RFC 5782, por lo que las integraciones existentes con los servidores de correo funcionan sin necesidad de código personalizado.
Preguntas frecuentes
¿Qué planes incluyen la zona DNS/RBL?
Se trata de un complemento recurrente que no forma parte de ningún plan. Puedes contratarlo a partir del plan Professional por 7,90 € al mes o 79 € al año.
¿En qué se diferencia esto de la lista negra de archivos?
Los mismos datos, pero con un método de transporte diferente. La exportación de archivos consiste en una descarga estática que se importa según un calendario; la zona DNS/RBL responde a consultas en tiempo real a través del DNS y se mantiene actualizada sin necesidad de realizar ningún paso de importación.
¿Funciona fuera de WordPress?
Sí. La zona es una zona DNS simple, por lo que cualquier servidor de correo o cortafuegos compatible con RBL —como Postfix, Rspamd, BIND RPZ y otros— puede utilizarla independientemente de la plataforma.
Diseñado según el estándar DNSBL
La zona cumple con el RFC 5782 — consultas IPv4 con octetos invertidos y IPv6 con nibbles invertidos—, el estándar 127.0.0.2 punto de prueba y el reservado 127.255.255.0/24 rango de error. El formato «token-in-query» se ajusta a la convención «keyed-DNSBL» utilizada por servicios consolidados como el Servicio de Consulta de Datos de Spamhaus, por lo que se integra en Postfix, Rspamd o un BIND RPZ sin necesidad de código personalizado; y, a diferencia de la mayoría de las listas de bloqueo gratuitas, que solo admiten IPv4, esta cubre tanto IPv4 como IPv6 por igual.