Учимся устранять проблему с репутацией IP-адреса
Плохая репутация IP-адреса – довольно серьезная проблема, от которой сложно избавиться. Однако не стоит терять надежду, так как шансы все-таки есть. Сегодняшнее руководство посвящено тому, как вернуть репутацию адресу и проверить IP на спам :
Как IP получает плохую репутацию?
Это происходит тогда, как за вашим сервером фиксируется чрезмерная рассылка спама. В большинстве случаев, чтобы попасть в черные списки, нужно рассылать ОЧЕНЬ МНОГО спама. Если вы обнаружили свой IP-адрес в черных списках, то стоит изучить логи почтового ящика сервера. Возможно, что один из ваших аккаунтов был взломан, и теперь используется для рассылки спама. Если это так, то в первую очередь нужно обезопасить взломанный профиль.
Поиск черных списков, в которых находится IP-адрес
Запрос на удаление из черного списка
Большинство специализированных сервисов предлагает опцию, которая позволяет сделать запрос на удаление из списка. Но сначала нужно исправить проблемы, которые привели к внесению в черный список. Запрос может быть отклонен, если сервер продолжает рассылать большие объемы спама.
Основные черные списки и ссылки на форму запроса на удаление из них:
Скорее всего, вам придется объяснить, почему вы создали запрос на удаление, и какие шаги предприняли, чтобы обезопасить свой сервер. Будьте честными и попытайтесь доказать, что это больше не повторится.
Разбираемся со «злобным» список Microsoft
Другие предостережения
Пожалуйста, опубликуйте ваши комментарии по текущей теме материала. Мы крайне благодарны вам за ваши комментарии, отклики, подписки, дизлайки, лайки!
Barracuda Reputation Block List (BRBL)
Starting in September 2008, Barracuda Networks introduced the Barracuda Reputation Block List (BRBL – pronounced «bahr-bel») as a free DNSBL of IP addresses known to send spam. Barracuda Networks fights spam and created the BRBL to help stop the spread of spam.
If you are interested in using or supporting the BRBL, please let us know: Request Access – Feedback
The BRBL is open to public and can be used within reason. Barracuda Networks is currently making this service available free of charge and we hope to keep it that way. Barracuda Networks does require free registration to gain access to the DNSBL. If you would like to register, please click here
Registration is simple and immediate. Please note that this service is provided free of charge, therefore Barracuda Networks reserves the right to refuse service to spammers, competitors and other parties at the company’s discretion. This service is provided as is with no warranty of any kind.
From Linux.com — «BRBL is a worthwhile addition to a company’s anti-spam arsenal» read more..
«We have never experienced problems using the BRBL list, and have placed it first in our inbound scan checking. It’s online availability is second to none and the false-positive rejection rates are extremely low. When adding our original RBL lists after this one they catch only a few strays.»
«Summed up in one word.. «GREAT!» Kudos to the maintainers of the BRBL list!»
— Albert Thiel, HostLongIsland.com
«About 78.2% of spam that is tagged is caught by this [BRBL] test. I find it a complement to our other tests, and quite useful.»
«I have not had any false positives reported that were triggered by this rule.»
«I am [using BRBL] and am getting less spam. I am using it in blocking mode and putting a reference to the web site to look up why the ip was blocked. I do not have as much [spam] as just using Spamhaus (which is now my secondary blocking list).»
Как удалить IP адрес из спам-баз
Известно, что спам в виде бесполезных рассылок, вирусов и прочего мусора мешает работе компьютера, и лучше от него быстрее избавиться. Чтобы защитить обычного пользователя от спама, создаются специальные базы, в которые вносятся IP-адреса, замеченные в назойливом распространении рекламных рассылок или вредоносных программ.
В дальнейшем эти базы используются почтовыми службами типа mail.ru для фильтрации поступающей корреспонденции. Если адрес присутствует хотя бы в одной из таких баз, отправленные с него письма помечаются как спам и размещаются в специальную папку или вовсе не принимаются.
Как ваш IP-адрес мог оказаться в чёрном списке?
Может случиться так, что в какой-то момент ваш IP-адрес окажется в чёрном списке одного или нескольких интернет-сервисов. Как такое могло произойти? Скорее всего, раньше с этого адреса осуществлялась массовая рассылка. Но это не единственная причина попадания в Blacklist.
Ваш адрес могут внести в чёрный список, если:
Чтобы узнать свой IP-адрес, нужно перейти по ссылке. С помощью специальной службы на нашем сайте 2ip.ru вы можете протестировать свой IP-адрес на наличие в одной из спам-баз. Уточнить причину попадания в блеклист можно на сайте службы, определившей вас в спамеры.
Чем грозит пребывание адреса в чёрном списке
Если IP-адрес внесён в один из блеклистов, пользователь ПК будет ограничен в проведении таких операций, например:
Самые крупные неприятности от попадания в чёрный список бывают у пользователей публичных VPN или прокси-сервисов. Случались прецеденты, когда добропорядочный пользователь публичного proxy-сервиса оказывался на одном сервере с мошенником. Вследствие этого их IP-адреса совпадали и честный клиент мог быть по ошибке обвинён в неправомерных действиях. Поэтому перед использованием публичных VPN или proxy-сервисов нужно проверить их на наличие в спам базах.
Процедура удаления IP-адреса из чёрных списков
IP-адрес могут удалить из чёрных списков автоматически после того, как будет полностью ликвидирована причина, по которой он там оказался. Например, если в течение 30 дней не осуществляется рассылка с адреса, ранее проявлявшего подозрительную активность, этого может оказаться достаточно, чтобы из исключить адрес из блеклиста. Но случается такое довольно редко: в большинстве случаев нужно не просто устранить причину попадания в чёрный список, но и отправить специальный запрос на вывод адреса из блеклиста той или иной базы.
Сервис Spamhaus
Одна из наиболее авторитетных компаний, формирующих чёрные списки – Spamhaus. На сайте компании можно проверить свой IP-адрес на наличие в нескольких списках. Обычному пользователю прежде всего следует убедиться в том, что его адреса нет в списках:
Последовательность шагов по удалению адреса из блеклиста Spamhaus выглядит следующим образом:
После этого откроется форма, в которой нужно указать:
В конце нажимаем кнопку Submit и ожидаем результат запроса. Следует сказать, что процедура удаления адреса из спам-баз другими инструментами во многом совпадает с описанной выше.
Другие способы
Помимо Spamhaus, существует множество других специализированных сервисов с функцией удаления адреса из блеклиста. Основные из таких служб можно увидеть, воспользовавшись инструментом https://2ip.ru/spam/. Вам нужно указать свой IP-адрес и нажать кнопку «Проверить». После этого откроется список сервисов, которые могли внести ваш адрес в свой чёрный список. В числе таких служб:
Barracuda
Чтобы удалить свой IP-адрес из чёрного списка Barracuda, нужно перейти по ссылке и заполнить поля запроса на удаление. В предложенной форме необходимо указать:
Последний пункт не является обязательным, но лучше его заполнить: практика показывает, что любая дополнительная информация послужит в этом случае дополнительным бонусом в вашу пользу. На сайте сервиса Barracuda можно найти информацию о том, что:
Lashback
Около миллиона IP-адресов из чёрного списка компании Lashback обновляются ежечасно. Один раз в 30 дней можно удалить свой адрес из этого списка бесплатно. Создатели Lashback утверждают, что их «разведывательная база», существующая более 10 лет, самая крупная в мире. Чтобы сделать запрос на удаление адреса из блэк листа Lashback, достаточно указать свой IP в строке Delist Request и нажать кнопку Submit.
Invaluement
Спам-базу сервиса Invaluement чаще используют, как дополнительный фильтр при репутационной проверке IP-адреса. Эта служба способна улавливать спам, недоступный для других подобных сервисов. Для удаления адреса из чёрного списка Invaluement, необходимо заполнить поле «Type a domain name or IP address below» и нажать кнопку «Check for Listing».
DNSBL
Для удаления адреса из спам базы DNSBL необходимо:
Независимо от того, каким инструментом вы пользуетесь для удаления адреса из спам-базы, следует знать, что:
Если вы хотите защитить себя от случайного попадания в блеклисты, оформите выделенный IP-адрес, который обойдётся вам в определённую сумму, но будет исключительно ваш. На динамическом IP-адресе могут находиться несколько пользователей, и попадание одного из них в чёрный список может негативно отразиться на всех остальных.
Barracuda Reputation Block List (BRBL) – How to Use
Barracuda Reputation Block List (BRBL) – A Standard DNSBL Implementation
The Barracuda Reputation Block List (BRBL) utilizes a standard DNSBL (Domain Name System Block List) implementation that can be used to reduce spam volume on many popular email systems, including Microsoft Exchange, IBM Lotus Domino, sendmail, Postfix, and qmail, as well as by many antispam solutions such as the Barracuda Spam & Virus Firewall. DNSBL systems list IP addresses, often those that have been observed by the list operator to be sending spam or hosting spammers. By adding DNSBL entries to an email server configuration, those email servers can either reject connection attempts from listed IP addresses or use that listing to apply appropriate filtering policy.
DNSBLs are sometimes called RBLs (Realtime Blackhole Lists), or just BLs (Block/Black lists).
It is important to note that a DNSBL cannot stop anyone from sending email. A DNSBL only prevents delivery at the receiving end at the receiver’s instruction. DNSBLs are strictly defensive tools, and they cannot do any offensive damage such as denial of service attacks.
In general, DNSBL queries are structured by the inverse IP address as a subdomain of the DNSBL zone. For example, to check that the general DNSBL test address of 127.0.0.2 is listed in BRBL, you can query 2.0.0.127.b.barracudacentral.org with any DNS lookup tool. Examples are below:
Linux/Unix systems:
$ host 2.0.0.127.b.barracudacentral.org
2.0.0.127.b.barracudacentral.org has address 127.0.0.2
Windows systems:
C:\>nslookup 2.0.0.127.b.barracudacentral.org
Server:
Address:
Non-authoritative answer:
Name: 2.0.0.127.b.barracudacentral.org
Address: 127.0.0.2
Why use a DNSBL? (DNS Block List)
Doing a DNSBL lookup on a message at SMTP connect time is cheap in hardware cycles and system time. Your DNS server may even have it cached from the last time the spammer tried.
Mail rejected by a DNSBL during delivery is not silently discarded or lost. A DNSBL realtime rejection creates a delivery status notification (DSN) to the sender identifying the cause of the rejection, thereby allowing troubleshooting on the sender’s end. (i.e., no «lost messages»)
By rejecting the connection attempt in real-time, a DNSBL also avoids any «backscatter» problems associated with an email system accepting delivery, closing the connection, and then trying to return the mail to a potentially forged address after the message is determined to be spam.
Why use a DNSBL? (DNS Block List)
These answers presume you are running your own mail servers!
The first step is to request access to the BRBL. Once your name server (DNS server) IP addresses have been approved for access, you will need to configure your mail server. All modern mail servers have a ‘DNSBL’ feature (sometimes called ‘RBL Servers’ or ‘Blacklist’). If you are not sure whether yours does, read its ‘Help’ file or ask your mail server vendor.
Testing your BRBL Setup
After you have registered your nameserver IP addresses with Barracuda and have been approved for access, you manually test access from the command line interface of your mail server operating system.
Linux/Unix systems:
Windows systems:
If the blacklist is accepting queries from your nameserver, you should receive a response of 127.0.0.2:
Linux/Unix systems:
2.0.0.127.b.barracudacentral.org has address 127.0.0.2
Windows systems:
Non-authoritative answer:
Name: 2.0.0.127.b.barracudacentral.org
Address: 127.0.0.2
Querying the BRBL servers will use a lot of bandwidth, won’t it?
DNS is inherently very efficient, using minimal amounts of bandwidth. Using BRBL will use much less bandwidth than having to accept every spam and virus email sent to your email system. By rejecting these spam messages during the SMTP connection, no further data is sent thereby reducing overall bandwidth requirements. DNS caching by your local DNS server also prevents redundant queries from utilizing excessive bandwidth.
Мониторинг IP в блэклистах с помощью Zabbix
Немного теории
Публичные спам-базы или «черные списки» IP адресов содержат информацию об IP, которые по каким-либо причинам были признаны недружественными по отношению к пользователям. Не будем углубляться в технологические тонкости; важно, что почтовые программы и сервисы используют информацию из этих и собственных баз для того, чтобы защищать электронные ящики получателей от нежелательной рассылки, от спама.
Суть проблемы
Если ваш IP адрес попал в черный список – адресаты не будут получать ваши электронные письма.
Попадание IP в публичные спам-базы грозит наступлением корпоративного почтового коллапса. Это неприятно, даже если e-mail адресов на домене всего 5 и всех пользователей можно временно «пересадить» на «обычную» почту на Яндексе или Mail.ru. Но, когда к внутреннему почтовому серверу «приколочены» более 50 ящиков, интегрированных с CRM-системой, проблема приобретает катастрофический характер.
Решение
«Знать, чтобы предвидеть; предвидеть, чтобы управлять». О. Конт
Вычислить надвигающуюся угрозу можно и нужно до того, как клиент ощутит на себе карательные меры почтовых серверов, а отдел продаж в панике совершит коллективное линчевание местного админа. Для этого мы создали скрипт автоматического мониторинга IP, оповещающий пользователя о возможных проблемах. В качестве платформы мониторинга выбрали Powershell, а для оповещения использовали zabbix 2.4.
Немного о создании скрипта
После тщательного анализа существующих в данной области технологий и наработок мы пришли к более интересному и практичному решению. Разработка ПО на базе powershell 3.0, которое будет самостоятельно проверять наличие IP в публичных спам-базах.
Как работает?
Проверка IP адреса на факт наличия в черном списке (DNSBL) проводится следующим образом: указывается проверяемый IP в нотации DNS PTR (то есть наоборот «спереди назад») и добавляется имя домена DNSBL сервера. Если ответ от сервера получен, то проверяемый адрес заблокирован: то есть IP замечен в одном или нескольких черных списках. Вне зависимости от специфики ответа (он может быть любым), сам его факт говорит о том, что IP находится в спам-базе.
В zabbix данные передаются через траппер. Для использования элемента данных траппера мы должны:
— иметь в Zabbix настроенный элемент данных траппер
— отправлять данные в Zabbix.
Создадим хост blacklistcheck:
Теперь необходимо настроить траппер:
Создаем элемент данных.
Имя – может быть любым
Ключ – основной элемент при создании траппера, данный элемент имеет зависимость от регистра. Ключ KEY и key это два разных ключа.
Тип информации: есть 3 варианта, подходящие под нашу задачу: число, символ или текст. Но, поскольку мы исключили регулярные выражения, то текстовым массивам предпочли целочисленное значение.
Тип данных – логический; нам важно 2 значения IP: присутствует (1), либо не присутствует в спам-листах (0).
Отображение значений можно оставить как есть, а можно создать свое преобразование, примерно следующего содержания: 1= ip is listing, 0 = ip isn`t listing – на работу скрипта данные значения не влияют, зато визуализация информации в zabbix получается интересной.
После этого элемент данных готов принимать значения. Можно выполнить проверку через программу zabbix_sender.
В случае корректной работы будет получен подобный результат:
Для просмотра диагностических данных используется параметр –vv.
Скорость проверки одного IP составляет не более 3-х минут.
Далее необходимо настроить триггер для оповещения.
Имя можно задать любое. Выражение соответствует изменению состояния элемента данных с 0 на 1. В случае срабатывания триггера в основной панели zabbix появится оповещение.
Практика использования
Мы создали компактный, хорошо работающий скрипт, который автоматически оповещает клиента о возможных проблемах в работе почтовой системы. Согласитесь, что профилактика этого вопроса куда приятнее и спокойнее по сравнению с необходимостью решать задачу «отвалившейся» почты в условиях цейтнота.
Мы внедрили данное решение у наших клиентов, и оно хорошо себя показывает – особенно в компаниях, где отдел продаж работает через рассылку коммерческих. Данный скрипт позволяет быстро локализовать проблему, вызвавшую попадание IP в спам-базу, и без ущерба продолжить работу.
Желаем, чтобы количество взлётов электронных писем совпадало с количеством приземлений!
