Por que o Spamhaus continuaria adicionando um IP ao CSS quando esse IP não enviou e-mails recentemente?

Question

Por que o Spamhaus continuaria adicionando um IP ao CSS quando esse IP não enviou e-mails recentemente?

#1 resposta do (4 votos)

2

Durante os últimos seis meses, fui bloqueado na batalha com o Spamhaus CSS SBL, tendo que verificar regularmente se o endereço IPv6 do meu servidor Exim4 foi listado e, se tiver, manualmente excluí-lo. Eu finalmente concordei com a derrota na semana passada e mudei meu aplicativo SAAS de usar um servidor Exim4 auto-gerenciado (e bem configurado) para o Mailgun. Por "bem configurado" quero dizer que ele tinha registros SPF, DKIM e DMARC, enviava e-mails multipartes bem formados, tinha cabeçalhos de cancelamento de lista, etc. Todas as chamadas coisas de "melhores práticas".

O CSS SBL deve listar os spammers "mostrados", o que significa que os operadores enviam baixos volumes de e-mail de vários endereços IP. Bem, para começar, o e-mail para o domínio do SAAS só se originou desse endereço, então não tenho certeza de como os algoritmos deles concluíram que era uma operação de spam com snowshoe, mas de qualquer forma ...

Embora o aplicativo SAAS agora envie todos os seus e-mails via Mailgun, deixei o Exim4 sendo executado, caso outros serviços na máquina precisem enviar e-mails para o endereço de e-mail de suporte. Desde então, o servidor Exim4 enviou cerca de cinco e-mails muito benignos para o meu endereço de e-mail de suporte, que está hospedado em uma máquina Ubuntu autogerida rodando o Postfix e não possui nenhum módulo anti-spam instalado (então eu sei que não é conversando com Spamhaus).

Apesar disso, o IP do servidor Exim4 continua a ser listado no CSS SBL quase diariamente. O que é ainda mais desconcertante é que o endereço IP está sendo listado mesmo quando nenhum email foi enviado ! Por exemplo, eu retirei o endereço IP ontem e quando eu chequei esta manhã (aproximadamente 20 horas depois), ele foi re-listado. Eu verifiquei os logs do Exim4 e nem um único e-mail foi emitido naquele período.

Então, alguém sabe por que o endereço IP continuaria a ser listado no CSS SBL, mesmo que essencialmente nenhum e-mail estivesse sendo enviado daquele endereço?

Devo acrescentar que o endereço IP está em uso neste servidor há mais de três anos, o DNS está no Linode e o nome de domínio está registrado no GoDaddy com registros whois genuínos de acesso público (ou seja, sem proteção de privacidade).

spamassassin spam

por JamesG 20.12.2017 / 23:07

1 resposta

Tags spamassassin spam

O Windows 10 não pode acessar locais ou unidades compartilhadas de rede Compatibilidade RAM para o HP Proliant DL320e Gen8 v2

score 4 · Accepted Answer

Aviso antecipado para pessoas com problemas semelhantes: NUNCA solicite o desbloqueio em qualquer lista de bloqueio de spam antes de descobrir o que está acontecendo. Essas listas de bloqueio de spam são quase sempre inteligentes o bastante para não bloquearem você aleatoriamente. Eles podem até dizer que solicitações adicionais de desbloqueio incorrerão em uma taxa ou não serão possíveis se você desbloquear e, em seguida, for listado novamente.

Existem várias regras sobre a lista de bloqueio do CSS que não são publicadas - intencionalmente - não querem que os spammers evitem ser bloqueados trabalhando em torno das regras.

Uma coisa que é bem conhecida e publicada é, no entanto, que a lista contém pelo menos / 64 blocos para o IPv6 . Isso significa que eles nunca bloqueiam endereços únicos / 128, eles sempre atingem um bloco inteiro de uma só vez. Isso, por sua vez, significa que o spam enviado por pessoas no mesmo bloco / 64 que você está bloqueando também.

Se estivesse listando blocos menores, a lista seria

tremendamente grande (imagine o número de possíveis endereços ipv6 para acompanhar) e
muito facilmente contornado por spammers (eles poderiam usar um novo IP toda vez que fossem bloqueados).

A escolha de usar blocos / 64 está rastreando aproximadamente o que é comum na indústria atualmente - um / 64 geralmente é um cliente. Essa equação estava longe de ser sempre o caso há 5 anos - mas afaik é o padrão da indústria até agora.

Para uma discussão mais detalhada e ponderada dessa decisão, há uma longa declaração sobre isso no site spamhaus: o "Declaração de estratégia de listas de bloqueio do Spamhaus IPv6"

Soluções possíveis para o seu caso:

a) Pergunte ao seu provedor de hospedagem

O seu provedor de hospedagem pode ou não oferecer sem esforço para lhe atribuir um bloco maior (pelo menos / 64) ( Linode FAQs mencionam a adição de IPs ), já que a atribuição do bloco (menor) pode muito bem ter apenas razões históricas - o (assim até agora, ainda que rudimentar) o consenso sobre o uso de / 64 por cliente é de apenas 2 anos e, antes disso, muitos provedores de hospedagem apenas atribuíam o que julgavam apropriado - com resultados altamente diferentes. Minha experiência: muitos provedores de hospedagem ofereceram essa mudança de tamanho de prefixo para mim sem que eu sequer perguntasse (há alguns anos).

b) Mude seu provedor de hospedagem

Se o seu provedor de hospedagem não conseguir seguir os padrões do setor e, além disso, for incapaz de justificar isso (não presumo que exista uma boa explicação, o espaço de endereços IPv6 não é exatamente escasso), questione seus motivos. Se o provedor de hospedagem atribuir intencionalmente pequenos blocos IPv6 - por exemplo, para garantir que mensagens legítimas e de spam sejam confundidas (é isso que preocupa o pessoal do Spamhaus quando usam termos como "operações com snowshoe") - é hora de executar.