Malefiche DNSRBL...
Da questo weekend, alcuni provider hanno preso a rifiutare la posta in uscita dal mio serverino (prima hotmail e poi libero, per la precisione).
A seguito di rapido controllo, mi sono accorto che il mio IP era finito nella CBL di spamhaus con la seguente motivazione:
Bestemmie di rito, verifica dei log del server, doppio controllo antimalware per tutti i pc Windows di casa (dato che il server è anche gateway per la rete locale e non mi risulta una variante di questo malware che possa attaccare il mio server Linux) ma mi risulta tutto in ordine, non ho trovato alcuna schifezza. Il server non è un open-relay, verificato anche con svariati tools e scanner online.codice:At the time of removal, this was the explanation for this listing: This IP is infected (or NATting for a computer that is infected) with the kelihos spambot. In other words, it's participating in a botnet. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again. This IP is infected (or NATting for a computer that is infected) with a spam-sending infection. In other words, it's participating in a botnet. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.
Nel dubbio, aggiungo una regola nel firewall per loggare e bloccare tutto il traffico in uscita dalla LAN verso le porte SMTP, in modo che solo il traffico in uscita originato dal server possa passare verso queste porte (e comunque, da Sabato pomeriggio non è stato loggato un solo pacchetto ad eccezione dei miei test, come mi aspettavo!!).
Stamattina mi arriva la NDR di una mail inviata verso libero.it che riporta:
"Poor reputation" ??? "senderbase.org"???codice HTML:The mail system <mia_email@inwind.it>: host liberomx1.libero.it[212.52.84.178] refused to talk to me: 554-mtalibero09.libero.it 554 Your IP is rejected due to poor reputation. For further information contact your provider. If you are the provider, check your score at senderbase.org. To ask for support mailto:block@postmaster.libero.it?subject=Code 554
In pratica senderbase.org è un servizio acquistato da Cisco nel 2007 che raccoglie dati sui server di posta in giro per il globo e li cataloga in base ad un coefficiente di "reputazione". Questi dati sono poi disponibili, a pagamento, ai clienti della soluzione di web security di Cisco. Evabbè... Saranno sempre gli strascichi del ban di Sabato...
Vado a cercare sul sito come fare il de-listing ma non c'è modo: Senderbase non è una DNSRBL, ma solo un tool di analisi cui i provider o altre DNSRBL si appoggiano... Dato che nella mail non c'è traccia di informazioni che mi permettano di capire da chi sono stato bannato, provo a fare una query sul loro database e ne esce questo:
"Poor reputation" ma nessuna segnalazione nelle DNSRBL riportate o nell'analogo strumento su google groups. Solo questa assurda indicazione di reputation "poor" e questo coefficiente di "Magnitude"... Praticamente dal mio IP sarebbe uscito tra lo 0.0000001% e lo 0.000001% (circa, la scala è logaritmica ed è passato troppo tempo dalla superiori...) dell'intero traffico email mondiale dell'ultimo mese????
Ma siamo scemi?? Stiamo comuqnue parlando di un volume stimabile in centinaia di migliaia di email... Da un Atom attestato su una connettività asimmetrica wi-max che dopo 20g di uptime ha solo 800Mb di ram occupati ed un carico medio inferiore allo 0.1???
Insomma, interrogando un pò di siti di reporting per capire da dove deriva questa cattiva reputazione, finisco nell'unica DNSRBL in cui mi risulta che sono segnalato... BarracudaCentral.org - Technical Insight for Security Pros
Onestamente non l'avevo mai sentita... Richiesta di rimozione, rimbalzi vari e salta fuori che questa DNSRBL sostanzialmente pesca informazioni di attendibilità da un altro sito http://www.emailreg.org che per segnalarti come "attendibile" chiede una registrazione ed un contributo amministrativo di 20$ l'anno per ciascun dominio...
Intanto mi è arrivata anche la notifica di rimozione dalla lista...
Ma vaff...!!!codice:Thank you for contacting Barracuda Networks regarding your issue. Your issue is important to us. We have assigned a confirmation number: BBR21353954734-82393-19016 to this case. We apologize for any inconvenience that this may have caused you. We have removed 77.89.33.26 from our blocklist for 30 days, at which time it will be re-evaluated. There are a number of reasons your IP address may have been listed as "poor", including: The email server at this IP address contains a virus and has been sending out spam The email server at this IP address may be configured incorrectly The PC at this IP address may be infected with a virus or botnet software program An individual in the organization at this IP address may have a PC infected with a virus or botnet program This IP address may be a dynamic IP address which was previously utilized by a known spammer The marketing department of a company at this IP address may be sending out bulk emails that do not comply with the CAN-SPAM Act This IP address may have a insecure wireless network attached to it which could allow unknown users to use it's network connection to send out bulk email In some rare cases, your recipients' Barracuda Spam Firewall may be misconfigured If you do not think any of the above apply, please also contact the person who manages this IP address, as they may be better able to investigate this issue. Thank you for your time and understanding. Barracuda Central by Barracuda Networks http://www.barracudacentral.com/ intent@barracuda.com ---------------------------------- 'Like' us on Facebook for exclusive content and other resources on all Barracuda Networks solutions. Visit http://barracudanetworks.com/facebook
Ho sempre odiato le DNSRBL...
Rispondi quotando
