Blacklists de IP y dominio: detección, impacto real y proceso de delisting
Guía sobre las blacklists relevantes en email, cómo distinguir las que importan, qué hacer cuando apareces listado y cómo solicitar delisting con éxito.
Aparecer en una blacklist puede ser una emergencia o un detalle menor, según cuál sea. La industria del email opera con docenas de listas (RBL, DNSBL, URIBL, etc.) y no todas tienen el mismo peso: algunas son ruidosas y casi nadie las consulta, otras pueden cortar tu entrega en grandes proveedores. Saber cuáles importan, cómo detectar el listado y cómo abordar el delisting es parte del trabajo de cualquier equipo que dependa del email.
Qué es una blacklist en email
Una blacklist (también RBL, Realtime Blackhole List, o DNSBL) es una base pública de IPs o dominios considerados maliciosos o problemáticos. El servidor receptor consulta la lista durante la conexión SMTP y, si la IP de origen aparece, puede rechazar el mensaje, marcarlo como sospechoso o aplicar deferral.
Las listas se dividen, simplificando, en tres tipos:
- De IPs. Bloquean por dirección de envío.
- De dominios. Bloquean por dominio del
From, del Return-Path o de URLs en el cuerpo (URIBL). - De spamtraps. Identifican direcciones que solo existen para detectar spam; cualquier envío a ellas es señal de listas malas.
Las que importan de verdad
No todas las blacklists tienen el mismo impacto. Las que más usan los grandes proveedores y filtros corporativos son:
| Blacklist | Tipo | Impacto |
|---|---|---|
| Spamhaus ZEN (SBL/CSS/XBL/PBL) | IP y dominio | Muy alto |
| Spamhaus DBL | Dominio (URIs) | Muy alto |
| SURBL | Dominio (URIs) | Alto |
| URIBL | Dominio (URIs) | Alto |
| Barracuda | IP | Medio-alto |
| SpamCop | IP | Medio |
| SORBS | IP | Medio (algunas listas son ruidosas) |
| UCEPROTECT 1 | IP | Medio |
| UCEPROTECT 2 y 3 | Bloques /24 y AS | Bajo (muy ruidoso) |
| Invaluement | Dominio | Medio |
| Mailspike | IP | Medio |
| AHBL, Lashback | IP | Bajo (muchas obsoletas) |
La regla práctica: estar listado en Spamhaus es prácticamente garantía de problemas de entrega. Estar en UCEPROTECT 3 es habitual y rara vez se traduce en bloqueos reales.
Los grandes proveedores (Google, Microsoft, Yahoo) además mantienen sus propias listas internas no públicas, mucho más relevantes que cualquier RBL pública para el placement en sus inboxes. Esas no se “deslistan” pidiéndolo: se recuperan corrigiendo el comportamiento.
Cómo detectar un listado
Consulta multibase
Servicios online o herramientas CLI consultan decenas de listas a la vez:
dig +short ip.reverse.zen.spamhaus.org # ZEN
dig +short ip.reverse.dbl.spamhaus.org # DBL (con dominio invertido o A record)
dig +short ip.reverse.bl.spamcop.net # SpamCopDonde ip.reverse es la IP en notación inversa (192.0.2.1 → 1.2.0.192). Si la respuesta es un A record (típicamente 127.0.0.x), estás listado. Si no responde nada, no.
Síntomas indirectos
A veces el listado se descubre por bounces. Patrones típicos:
554 5.7.1 Service unavailable; client x.x.x.x blocked using zen.spamhaus.org550 5.7.1 Mail from x.x.x.x refused: see http://spamhaus.org/...421 4.7.0 mail server temporarily rejected because of poor reputation
Cualquier referencia explícita a una lista en el bounce es la pista directa. Cualquier referencia a “poor reputation” o “blocked due to” suele apuntar a listas internas del proveedor.
Postmaster Tools y SNDS
Aunque no es una “blacklist” técnica, una caída brusca de “Domain reputation” en Google Postmaster o un pico en el spam rate de SNDS de Microsoft es la señal de que has entrado en sus listas internas.
Por qué se cae en una blacklist
Las causas habituales:
- Listas no validadas o compradas. Las trampas en estas listas saltan rápidamente.
- Hits en spamtraps. Direcciones específicas que solo existen para detectar listas malas.
- Ratio alto de hard bounces (ver bounces SMTP 4xx vs 5xx).
- Spike de envío desde IP nueva sin warming.
- Quejas de spam por encima de 0,3 %.
- Compromiso de la cuenta. Una cuenta hackeada en tu Workspace o un servidor con relay abierto envía spam y termina listado.
- Suplantación masiva de tu dominio sin DMARC enforced.
- Contenido tóxico o malware detectado en URLs.
El listado es solo el síntoma; la causa siempre es alguno de los puntos anteriores.
Plan de actuación cuando apareces listado
Antes de pedir delisting, hay que cerrar la causa. Pedir delisting con la causa abierta solo lleva a relistarse en horas y reduce la credibilidad ante el operador de la lista.
1. Identifica la causa
- Revisa logs de envío de los últimos 7-14 días.
- Cruza con reportes RUA de DMARC: ¿hay IPs anómalas?
- Comprueba si hay cuentas comprometidas o relays abiertos.
- Revisa si subiste volumen sin warming.
- Evalúa si las listas están limpias y validadas.
2. Corta el origen
- Suspende campañas problemáticas.
- Cierra cuentas comprometidas y rota credenciales.
- Aplica filtrado de salida (rate limit, validación de remitente).
- Endurece DMARC a
quarantineorejectsi todavía estás ennone.
3. Limpia listas
- Elimina hard bounces de los últimos 12 meses.
- Suprime usuarios sin engagement en 12+ meses.
- Pasa la lista por un servicio de validación de email.
- Confirma que no hay role-based addresses sin engagement (
info@,admin@).
4. Solicita delisting
Solo después de los pasos anteriores. El proceso depende de cada lista (lo veremos abajo).
5. Reanuda con volumen bajo
Tras el delisting, no vuelvas a tu volumen anterior de golpe. Calienta de nuevo con volumen incremental, vigilando métricas.
Procesos de delisting por lista
Spamhaus
Spamhaus exige diagnóstico claro. Su web (spamhaus.org/lookup) muestra:
- Tipo de listado (SBL, CSS, XBL, PBL).
- Razón resumida.
- Enlace a “Removal Procedure”.
PBL (Policy Block List) suele ser automático: se quita cuando declaras que el bloque IP es un servidor de correo legítimo (vía formulario). SBL/CSS exige aportar evidencia de que se ha resuelto el problema. Las primeras retiradas suelen aprobarse rápido; reincidentes pueden quedar bloqueados más tiempo.
DBL (Domain Block List) requiere que el dominio listado se limpie, esté libre de malware y de patrones spammer. Si se detectan repetidamente, el dominio puede acabar permanentemente listado.
SpamCop
Tiende a deslistar automáticamente al cabo de 24-48 horas si los reports cesan. Ofrece un formulario para casos urgentes.
Barracuda Reputation Block List
Tiene formulario en barracudacentral.org. Suelen responder en 24-72 horas. Piden información sobre la causa y medidas correctivas.
SORBS
Algunos listados (DUHL, principalmente) requieren formulario específico. Otros caducan automáticamente.
URIBL / SURBL
Para dominios. Si tu dominio aparece, suele ser por enlaces sospechosos en los emails. Limpia las URLs y pide retirada por su web.
UCEPROTECT
UCEPROTECT 1 se desactiva automáticamente tras 7 días sin denuncias. UCEPROTECT 2 y 3 son agregados de bloques mayores; no se deslistan individualmente.
Listas internas de Gmail/Microsoft/Yahoo
No hay un “delist”. Hay que:
- Reducir volumen.
- Mantener autenticación impecable.
- Eliminar cuentas inactivas y direcciones que generaron quejas.
- Esperar varias semanas a que el modelo recompute reputación.
En Microsoft, el formulario de “Sender Information for Microsoft Outlook.com” puede acelerar el proceso si los datos aportados son sólidos.
Prevención
Mejor que aprender el proceso de delisting es no necesitarlo. Las prácticas de prevención más efectivas:
- Doble opt-in en altas.
- Validación inicial de listas antes del primer envío.
- Política DMARC en
quarantineorejectcon todos los orígenes alineados. - Segmentación por subdominios para aislar tipos de tráfico.
- Monitorización continua de bounces y quejas.
- Revisión semanal de Postmaster Tools y SNDS si tienes volumen.
- Inclusión rutinaria del test de IP en blacklists antes de cada campaña importante.
- Conexión de SpamAssassin en preflight para detectar contenido riesgoso.
Errores frecuentes
Pedir delisting sin haber corregido la causa
Resultado: relistado en horas y operadores que recuerdan al solicitante en la siguiente ronda.
Tratar todas las listas igual
Una entrada en UCEPROTECT 3 no requiere lo mismo que en Spamhaus SBL. Prioriza por impacto real.
Asumir que el delisting “limpia” la reputación
No. La reputación de IP y dominio sigue su lógica propia. Los proveedores grandes mantienen sus modelos al margen de las listas públicas.
Pagar a “removers” no oficiales
Hay servicios que prometen delisting express. La mayoría son inútiles o estafas. Los procesos oficiales son gratuitos y predecibles si el problema está corregido.
Cambiar de IP en lugar de corregir
Mover el problema a otra IP solo gana tiempo. Sin corregir las listas, la nueva IP cae igual.
Ignorar avisos tempranos
Una bajada en Postmaster Tools o un aumento de bounces es señal previa. Actuar entonces evita el listado público; ignorarlos garantiza acabar dentro.
Cómo encajarlo en tu rutina
Una mínima rutina mensual:
- Comprobar IPs de envío en Spamhaus, Barracuda, SURBL.
- Comprobar dominio en DBL.
- Revisar Postmaster Tools (Gmail) y SNDS (Microsoft).
- Revisar reportes DMARC de la última semana.
- Confirmar que la lista de supresión está sincronizada entre tu CRM, ESP y herramientas accesorias.
15 minutos al mes prevenidos suelen ahorrar días de incidentes.
Recursos relacionados
Si quieres profundizar, prueba estas herramientas gratuitas: Domain Health, mail tester, validador SPF y validador DMARC.
¿Necesitas que alguien lleve tu canal de email entero? Abalola Mail es la agencia de email marketing especializada en ecommerce de Abalola para ecommerce: estrategia, producción y operación del stack sobre Klaviyo, Mailchimp o Brevo.