Проблем с блокиране на ІР в черен списък

[diabolic.bg]

С две думи - от два месеца The CBL блокира ІР адреса на сървъра ми в техния черен списък. Малко би ми пукало за тях, ако АБВ.бг не използваше този списък, но това е трагичен факт, а от моите потребители 95% ползват пощи от АБВ и това нарушава комуникацията ни (аз имам също и мейл сървър на това ІР, който е със 7 нива на защита срещу спам и вграден антивирус).
От въпросния сайт твърдят, че сървърът ми е зомбиран и изпраща спам имейли, което е пълна глупост. Сканирал съм го с всичко, което може да открие някаква подозрителна активност - вируси, ботнет софт, руткитове и т. н. ( да не изброявам софтуер...). С часове съм следил процесите чрез Tcpview, както съветват "спецовете" от въпросния сайт. Няма нищо и въпреки това тези тъпанари ме блокират почти всеки ден и си играем на гоненица, защото аз тичам след тях и се вадя всеки ден от черния списък, та до следващото блокиране...
Научих за съществуването на RuBotted Bot Infection Monitor - Trend Micro USA, инсталирах и него, и той показа, че машината е чиста. Инсталирал съм и новия (версия 2) Spybot - Search & Destroy from Safer Networking, който има защита в реално време плюс имунизация от зловреден софтуер - пак нищо не намира.

Просто идея нямам как да се отърва от тези американски глупаци без да сменям ІР адреса, което ще ме лиши за 48 часа от потребители. Мина ми през ума да пиша на администраторите на АБВ и да помоля да направят един байпас за моя адрес, но не съм убеден, че ще ми обърнат внимание и ще го направят.

Ще бъда благодарен за всеки полезен съвет!

 

[eclipze]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Без проблем можеш да имаш 2 и повече ip-та на една машина, слагаш и двете сменяш нейм сървъри и си готов. Макар, че по-мързеливото е да сложиш TTL за домейна например 300 секунди, да изчакаш времето което ти е сега, предполагам 1 ден и някоя нощ да смениш ip-то на новото, това ще те лиши от потребители за 5 минути) Ако и с ново-то ip имаш същият проблем, сам се сещаш какво значи))

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Не ми се минава през тези процедури със смяна на ДНС-и и т. н., затова и питам за други акъли. Същия проблем имах преди 2.5 - 3 години. Тогава тези тъпанари имаха и форма за контакт, та им писах - чакай от умрял писмо. Тогава доставчикът ми смени ІР адреса по технически причини, защото спряха някакви мрежи от БТК и бях забравил за тоя проблем.

Сега вече няма форма за контакти. Има периоди, когато не ме блокират по една седмица (сигурно вирусът ми почива през това време и не праща нищо :clap, после поредния тъпак се сеща, натиска вероятно някой линк и подновява стари списъци, за да отчитат дейност.
Само не ме убеждавай, че имам вирус - за да съм сигурен, преинсталирах целия сървър и тъпаците ме блокираха отново след два часа. Аз все пак не съм правен в зад.ик и имам някаква представа от компютърна сигурност, след като се занимавам години наред с това.
А ако мислиш, че наистина имам, ела го изчисти и ще ти платя, стига да го намериш и да спрат да ме блокират след това.

 

[s1yf0x]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

А дали не ти ползват машината като open relay ? Какъв IMAP сървър ползваш - exim, postfix, qmail ?

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

А дали не ти ползват машината като open relay ? Какъв IMAP сървър ползваш - exim, postfix, qmail ?

Едно от първите неща, които забраних беше open relay, освен това американците изрично споменават, че не проверяват за това

CBL listing criteria is very narrow:
The CBL does not test nor list open relays. DO NOT waste your time with open relay testers. We keep telling people this, and they keep doing it anyway - drives us crazy.

OPEN RELAY HAS NOTHING TO DO WITH THE CBL, so do not waste your or our time with telling us about open relay testing you passed. It's good that you're not an open relay. But we don't list open relays.
The CBL doesn't care what your DNS is. Really. The CBL won't list you if you don't have DNS or don't have rDNS (PTR value) or have "odd" DNS or rDNS values. In some cases, the rDNS is used as the HELO by your mail server, The CBL often cares about HELO. in which case you can fix it by either explicitly configuring your mail server to override the rDNS value, or have the rDNS value changed to something more "normal".

Преди малко отново сканирах компа с Microsoft Safety Scanner, който също се препоръчва от CBL, и пак нищо...

С годините открих една тактика на някои западни сайтове - примерно на антивирусни компании. За да покажат колко са велики, правят списъци на сайтове, където са "засекли" наличие на вируси. Ако си потърсите сайтовете там, положително все някой ще си намерите. 90% от "заразените сайтове" са от бившия соц. лагер. Просто говедата продължават да ни смятат за прокажени...

 

[eclipze]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

)))))))))) Да се наеме някой да дебъгва меил сървър на чужда машина без дори да е спомената ОС, което предвид софтуера споменат означава някакъв уиндоус е повече от несериозно и със сигурност ще отнеме в пъти повече време и ресурси от смяната на ip-то.

Като за начало домейна ти diabolic.bg няма SPF запис, предвид че е от първите неща при защитата на мейл сървър е подходящо да потърсиш някой съвременен туториал по темата. А иначе оставам на мнение, че най-лесното е да смениш ip-то за да знаеш дали от твоя телевизор е проблема или от "тъпите американци" и от там нататък да търсиш решението в правилната посока.

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Темата изобщо не третира дебъгване на мейл сървъра, ако си позачел по-внимателно. Спокойно можех и да не го споменавам, така че SPF записът няма нищо общо в случая, независимо дали го има или не.
Що се отнася до моя телевизор, след два месеца проверки с какво ли не, аз съм сто процента сигурен. Дори да се абстрахираме от факта, че заради тях преинсталирах от а-я и те пак ме блокираха след 2 часа, имах кабелна повреда и бях без нет почти два дни, а те ме блокираха отново в тези дни. Явно тоя вирус е много специален и праща имейли по водопровода...

Няма никакъв смисъл да си чешем езиците напразно. Бях сигурен, че никой няма да може да ми даде решение, но реших все пак да послушам съвета на stoyandim, който ми препоръча да пусна темата. В крайна сметка ще се опитам да се разбера с админите на АБВ, един байпас се прави за секунди, пък ако не се разберем, ще му мисля тогава.

Моля някой модератор да заключи темата!

 

[s1yf0x]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

тц, модератор няма да заключи темата. Всеки ден се боря с един или друг антиспам филтър заради инфантилното разбиране на някой относно мейл маркетинга в България. Прати ми IP адреса на лично ако се притесняваш да го публикуваш тук и да продължим темата с повече полезност.

 

[mlazarov]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

diabolic.bg, четеш и разбираш това, което са ти написали от CBL по някакъв извратен начин.

CBL не проверяват дали си open relay, те следят ефекта от това да си open relay.

Трябва да забраниш на процесите различни от мейл сървъра ти да пращат мейли и да следиш логовете на мейл сървъра - така ще хванеш какво праща спам от машината ти,

Всякакви други конспиративни глупости са ти само в главата ;0

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Това вече е друга приказка. Няма никакъв проблем, ей тук ще го постна направо - 93.152.143.139.
Благодаря за съдействието!

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

diabolic.bg, четеш и разбираш това, което са ти написали от CBL по някакъв извратен начин.

CBL не проверяват дали си open relay, те следят ефекта от това да си open relay.

Трябва да забраниш на процесите различни от мейл сървъра ти да пращат мейли и да следиш логовете на мейл сървъра - така ще хванеш какво праща спам от машината ти,

Всякакви други конспиративни глупости са ти само в главата ;0

Достъп за изпращане имат практически не повече от 10 мейл адреса, до един от моя домейн и огромна част от тях неизползваеми навън, защото служат за моя информация за разни процеси - нови линкове в директорията, нови вицове пуснати от потребител за одобрение и др. подобни. Логовете на сървъра четох доста тъпо и упорито много дни и все пак не намерих нещо подозрително.
Ето и нещо в потвърждение:

<<< 220-mail.wasteland-bg.com ESMTP Nice server v1.2; Mon, 26 Nov 2012 21:39:24 +0200
>>> HELO mailradar.com
<<< 220-******************************************************************
>>> MAIL FROM: <antispam@mailradar.com>
<<< 220-* Secure Mail Server *
>>> RCPT TO: <relaytest@mailradar.com>
<<< 220-* *
>>> QUIT
<<< 220-* All connections are logged! *
<<< 220-* This server uses antivirus and antispam technology *
<<< 220 ******************************************************************
<<< 250 mail.wasteland-bg.com Hello mailradar.com [193.230.245.6], pleased to meet you.
<<< 250 2.1.0 <antispam@mailradar.com>... Sender ok
<<< 550 5.7.1 <relaytest@mailradar.com>... we do not relay <antispam@mailradar.com>
<<< 221 2.0.0 mail.wasteland-bg.com closing connection

Тестовете са по 18 метода и общото заключение е: All tested completed! No relays accepted by remote host!

 

[s1yf0x]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Местя темата в раздел "Администрация". По проблема, прави впечатление, че доста IP адреси от подмрежата в която си са блеклиснати за спам. Товят не присъства в по-известните антиспам филтри но го срещнах във фитъра на Баракуда.

BarracudaCentral.org - Technical Insight for Security Pros

Провери си POST заявките в логовете, да не би някой от сайтовете да е оспамен? Други компютри зад този сървър има ли? Той като шейпър ли действа за мрежата или не се разпределя интернет през него? Зарежи open-relay тестовете, в това отношение си чист като сълза.

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Знам за Баракудата. Доколкото си спомням те искаха 20 долара и вадят всеки, но реших, че не си струва да им ги дам, при положение, че никой у нас не ползва техния списък. Има и други подобни тук - http://multirbl.valli.org/lookup/93.152.143.139.html

Нямам оспамен сайт. Имам само два, в които се пише - вицовете, където пишем двама души и "бункера", който е така защитен, че е наистина като бункер и напоследък си пиша само аз, тук-там имам коментари от регистрирани от години потребители.

Въпросният компютър е зад рутер и има още един, защитен със същия софтуер и проверяван също толкова често, защото на него бачка жената, а тя ме храни в момента И двата ги разнищих в последните 2 месеца. Мисля, че всичко тръгна от един вирус в лаптопа на дъщеря ми, която се върна от Германия за 20 дни. Аз го намерих и изчистих, но от въпросния сайт продължават по навик да ме блокират и до днес.

 

[s1yf0x]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Няма такова нещо като навик: има spam traps, които са автоматизирана услуга и spam reports, които са ръчно действие на реципиента но пак се обработва после от автоматична услуга. провери всичко, IMAP клиенти като Mozilla Thunderbird или Outlook express на двата компютъра също е вариант.

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

Принципно си прав, но мен параноята отдавна ме гони и следя непрекъснато какво се случва с машините. Аз използвам мейл клиента на Опера, а жената от години една и съща версия на Инкреди мейл, който преди известно време чистих от вградения в него Инкреди бар, който се държи като адуеър и по този случай го махнах, заедно с огромна част от изгъзиците на клиента. По този повод го следих много дълго време и съм сигурен, че няма изпращане на неизвестни писма от него.
Освен това и на двете машини е инсталиран споменатият вече RUBotted, който следи системата за подозрителна активност и изпращане на спамове. Той допълнително инсталира WinPcap, за да държи системата изкъсо. Според RUBotted няма никаква подозрителна активност. При наблюдение на процесите с TCPView единствените SMTP процеси са от мейл сървъра.
Затова и не мисля, че мога да открия нещо в компютрите.

 

[hostbulgaria.com]

Re: За: Проблем с блокиране на ІР в черен списък

Re: За: Проблем с блокиране на ІР в черен списък

Обикновен един ip адрес го блокират заради:
1. спам изпращан от smpt сървъра. Това можеш да го провериш като прегледаш логовете на smtp сървъра ти за всеки изпратен мейл примерно последните 48 часа. Също мейлите в опашката на сървъра често са в следствие на спам разгледай ги и тях. Друго което може да ти помогне да следиш какво се случва с мейл сървъра е да ползваш някакви графики като Munin примерно и да наглеждаш всеки ден за скокове и да проверяваш по това време какво се е случило. На нашите сървъри задаваме и лимит на всеки потребител и когато се превиши, получаваме мейл и проверяваме защо е превишен лимита.

2. Malware качен на някой сайт хостван на сървъра. Не е логично наистина но ако засекат вируси и подобни качени на уеб сървъра, вкарват мейл сървъра в черен списък. При проверка на ip адреса пише причината и ако е заради вирус ще го пише.

3. ip-то е част от мрежата на някой интернет доставчик и е динамично. На динамични ip адреси не би трябвало да има мейл сървъри и затова се блокират. Обикновено подаваш декларация че това е статичен ip адрес и легитимен мейл сървър и те отписват.

Също можеш само smtp сървъра да прекараш през друго ip и да не сменяш нищо по dns (освен нов reverse запис за мейл сървъра), както и да прекараш мейлите през друг сървър временно докато излезеш от списъка.

 

[diabolic.bg]

За: Проблем с блокиране на ІР в черен списък

За: Проблем с блокиране на ІР в черен списък

hostbulgaria.com, благодаря за полезните съвети, макар че се сетих за тях още от началото. Логовете на мейл сървъра по принцип си ги проверявам, защото никога не се доверявам 100% на защитите (вече писах по-нагоре, че съм параноик на тая тема).
Не съм луд обаче, че да си кача заразен файл на уеб сървъра, при положение, че основния ми сайт "проповядва" компютърна и интернет сигурност. Пък и Гугъл отдавна да го е открил, ако го има без аз да знам и да ме е заковал в черния списък. От друга страна, периодично, но редовно сканирам сайтовете си с Sucuri SiteCheck - Free Website Malware Scanner, а той е изключително точен според мен.

Също можеш само smtp сървъра да прекараш през друго ip и да не сменяш нищо по dns (освен нов reverse запис за мейл сървъра), както и да прекараш мейлите през друг сървър временно докато излезеш от списъка.

Това не мога да си представя как ще стане, при положение, че двата сървъра са на една и съща машина физически. А нямам намерение да наливам средства в отделен сървър за имейла, при положение, че ползвам 10 адреса.

Сега нещо полу-сериозно. Явно отново съм в период, в който моят така наречен "вирус" си е взел отпуск. Интересно ми е колко дни ще почива този път. Ето цитат:

IP Address 93.152.143.139 is not listed in the CBL.
It was previously listed, but was removed at 2012-11-26 15:33 GMT (2 days, 3 hours, 33 minutes ago)

Има дни, когато ме блокират през 6 часа, а понякога по 7-8 дни вирусът почива и те не ме закачат...
Някой ще ми обясни ли логично тая магия?