IP do cliente listado na RBL - Quais etapas você usa para impedir a listagem negra?

4

O cliente ligou dizendo que o e-mail estava sendo enviado por fornecedores específicos. Investigou e identificou que estavam listados em mais de um RBL / CBL. Firewall restrito para permitir somente o tráfego na porta 25 do servidor de correio. Em seguida, solicitou remoções de RBLs / CBLs.

Minha pergunta é dupla:

1) Eu não posso determinar o culpado original por tropeçar na lista negra. Estou procurando recomendações de ferramentas ou recomendações de processos para identificar o problema raiz para a resolução

2) Quais as etapas que você usa para impedir a listagem negra?

    
por Lucille 10.06.2009 / 13:36

3 respostas

3

Para impedir a inclusão de listas negras no futuro, permita que apenas servidores SMTP autorizados na rede do Cliente enviem e-mails (que, acredito, você já fez com o bit "Restricted firewall ..."), certifique-se de ' não é uma transmissão aberta e incentiva o Cliente a não enviar e-mails comerciais não solicitados que possam ser considerados spam.

Suponho que o Cliente tenha um software mal-intencionado em um computador que estava enviando e-mail e, como todos os computadores deles podiam enviar SMTP para a Internet, o malware conseguiu entregar os e-mails que estava gerando.

Eu farejaria o tráfego por trás do firewall, com destino ao firewall, procurando por solicitações SYN de saída para a Internet na porta TCP 25. Isso poderia encontrar sua (s) máquina (s) culpada (s), supondo que o malware não tenha descoberto o que você já fiz e "ficou em silêncio". O Wireshark ou outro software farejador fará o que você precisa lá.

Isso não é realmente um problema de lista negra de e-mail, eu estou supondo. É um "usuários estão executando como 'Administrador' e permitindo que terceiros maliciosos usem seus computadores" problema, eu diria, na raiz.

    
por 10.06.2009 / 13:44
1

I am looking for tool recommendations or process recommendations to identify root issue for resolution

Uma interface desagradável, horrível e feia, mas funciona bem. Foi escrito por Michael Renner (ex-colega de trabalho) e outro amigo meu.

Quanto ao motivo principal: não consegui fazer nada melhor do que verificar os logs. Um servidor de logs central é muito útil, já que pelo menos você tem um local central para verificar o que aconteceu

What steps do you use to prevent black listing?

Certifique-se de ter um trabalho duplo-opt-in / out prontamente disponível. Também muitos provedores têm spamtraps, onde algumas pessoas usarão este endereço para se inscrever em seu site e se o seu aplicativo não tiver a opção dupla adequada e você começar a enviar mais de 1 ou 2 e-mails, você será colocado na lista negra. p>

Coisas padrão, como permitir apenas remetentes através de SMTP + TLS com nome de usuário e senha , DNS apropriado (DNS reverso) e tal deve, é claro, ser configurado.

Além disso, há alguns "provedores de lista de permissões" que irão auditar você aleatoriamente. É claro que eu esqueci os links, nós realmente não os usamos, já que decidimos que o custo é muito alto para o serviço que eles fornecem

    
por 10.06.2009 / 13:48
0

Para identificar o problema raiz, verifique o bloqueio de IP da rede do cliente e verifique se há um identificador de abuso facilmente descoberto, registrado pelo ARIN ou pelo gerente de IP de rede regional. Se você for o ISP, certifique-se de que o bloqueio de sua rede leva à sua mesa de abuso como o contato de abuso e que a caixa de correio de abuso é monitorada para resposta rápida.

O resultado final é que uma infestação de spam acabará enviando spam para uma armadilha de spam ou alguém como SpamCop que se reporta ao contato de abuso. Com base nesse relatório, você tem um endereço IP para poder localizar a máquina infectada. Este será um processo de duas etapas se a máquina estiver atrás de um firewall.

Um segundo caso comum é quando a máquina que envia spam é um servidor de e-mail legítimo. Uma conta de e-mail é comprometida por adivinhar uma senha incorreta (como 'teste', 'senha' etc.) ou um keylogger em um computador usado para recuperar o e-mail. Para este caso, o spam pode ser interrompido, alterando a senha da conta de e-mail. Pode ser necessário que o usuário final limpe todas as máquinas para impedir que a nova senha de e-mail seja vazada por um keylogger. Para esse caso, o proprietário do servidor de e-mail legítimo pode precisar inspecionar os logs para obter mais dicas e certificar-se de que não haja mais problemas.

Ter um endereço de contato de abuso ativo geralmente impede a lista negra, pois você sabe sobre o problema quando ele é iniciado.

    
por 10.06.2009 / 14:34