Пользователь
0,0
рейтинг
2 апреля 2012 в 12:23

Администрирование → Spamhaus не задумываясь скинет на Вас ядерную бомбу, заподозрив в причастности к рассылки спама из песочницы

Здравствуйте уважаемые коллеги!

Хочу рассказать о занятном случае, принесшем неделю проблем в работе с электронной почтой нашей компании, да видимо не только.
За долгие годы работы в IT я навидался много. И ламеров, дающих налево-направо «умные» советы с авторитетным видом и реальных специалистов, живущих по принципу: я все знаю, но никому не скажу. Всякие есть люди. Но по-моему, главная черта человека разумного именно разумность, то есть способность применять разум. Тавтология, конечно, но именно об этом речь.
Все началось с того, что 22 марта одна из наших сотрудниц пожаловалась на то, что ее письма не доходят до адресата. Пользователи у нас в меру грамотные, поэтому жалобу она подкрепила отбойником от Mail Delivery System квинт-эссенцией содержания которого было:

host xxx.xxx.su[1.2.3.4] said: 550 5.7.0 Your
server IP address is in the SpamHaus SBL-XBL database, bye (in reply to
RCPT TO command)


Чтож, это меня не испугало, но удивило. Нас, так сказать, «посчитали». Конечно, понятно, виной тому может быть и вирус или троянец в сети, и неверная настройка почтового сервера, но все же начать следовало с того, что бы прочитать запись в системе Spamhaus. Адрес нашего SMTP сервера нашелся в записи Ref: SBL133720. Прочитав ее я обомлел. Я сам пользовался системами SpamCop и Spamhaus много раз, полагаясь на то, что там сидят именно эти самые человеки разумные, желающие победить спам, ну или хотя бы снизить его количество. Но такое… Запись гласила:

Ref: SBL133720
217.147.31.0/24 is listed on the Spamhaus Block List (SBL)
2012-03-22 11:37:53 GMT | SR04 | tel.ru
Spam and cybercrime host: iqhost.ru (AS52201 >>> AS50465)

LLC "TC TEL" routing to cybercrime hosting operation at iqhost.ru. One of the worst in the world.

www.cidr-report.org/cgi-bin/as-report?as=AS50465

AS50465 IQHOST IQHost Ltd

Adjacency: 2 Upstream: 2 Downstream: 0
Upstream Adjacent AS list
AS34221 QL-AS JSC QUICKLINE
AS52201 TCTEL LLC "TC TEL" (AS31430)

Адреса сетей не изменяю.
Далее следовало перечисление всех IP сетей, выделенных нашему провайдеру и входящих в AS31430. Таким образом записано в спаммеры было просто несчетное количество народа. Масштабно. Администрация Spamhaus явно сломалась.По сути, мне инкриминировалось «вхождение» в сеть провайдера, а ему(провайдеру), — BGP роутинг с автономной системой хостера, которого считали буквально самым большим в мире гнездом киберпреступности.
Натуральная паранойя. Где Рим, а где Крым. Может проще сразу запретить почтой пользоваться, а вдруг там спам или еще что похуже.

В этой записи было еще много данных о «раскрытых» ботнетах и спам-узлах в сетях IQHOST. Постить сюда эту воду не буду. У кого возникнет желание, могу выслать скрин.

Кипя возмущенным разумом я написал на sbl-removals письмо с подробным изложением ситуации. К этому времени жалобы пользователей сыпались на меня градом. Робот в Spamhaus принял мою заявку мгновенно, о чем пришло подтверждение. Но ответа на заявку не последовало. И на следующий день проблемы продолжились. Позвонив провайдеру и уточнив, что они тоже принимают меры, я решил найди обход. Попросить сотрудников с проблемными адресатами, передать по телефону просьбу к IT персоналу компаний-адресатов добавить нас в белые списки (ну какой нормальный админ будет вписывать что-либо в white-list неизвестно кого) или связаться со мной, дабы я мог внести ясность. Какого было мое удивление, когда никто не захотел хотя бы выслушать объяснение. Мотивация типа, — «сами виноваты, решайте свои проблемы самостоятельно» и сподвигла меня на написание этой пространной истории.

Друзья, коллеги! Доверяя определенной технологии не забывайте думать самостоятельно, вдруг те, кто этой технологией управляет не задумался о последствиях своих действий. Ошибаются все! Кто-то реже, кто-то чаще. А ведь решить, при желании, можно практически любую проблему.

P.S.
В заключении добавлю, что только после совместных действий IQHOST и TEL (ну и возможно моих) данная запись была удалена Spamhaus из базы. Но произошло это только 26 марта, через четверо суток.
Возможно здесь, на Хабре, есть люди из TEL или IQHOST, кто знаком с деталями переписки со Spamhaus и сможет добавить подробностей.
@alx_nk
карма
1,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (73)

  • +3
    Здесь скорее нужно учить людей настраивать почтовые сервера, чтобы не отбивать письма по чёрным спискам, а пропускать через антиспам-фильтр, снижая оценку. Попал в несколько черных списков — твое письмо так и уйдет в спам или автоматически отобьется (если оценка выше 7, например)
    А вообще — надо написать на эту тему статью «о вреде отбивания писем по чёрным спискам».
    • +2
      Именно.
      Мне уже лет пять как хочется применять усечение тестикул к тем «админам», которые реджектят письма по факту положительного ответа из всяких спамхаусов и им подобным.
      Особенно прекрасно это выглядит со стороны банковских структур. Просто прелесть.
  • +10
    К сожалению, подобное поведение Spamhaus уже стало фактически обыденным.
    Если мне не изменяет память, то это началось еще в 2008-2009 годах. По крайней мере, примерно тогда, с ремаркой «как же они уже за*бали», я услышал об этом от коллег из телекомов.
    • +5
      Они потом еще, помню, нашли оригинальный способ монетизации в виде исключения из blacklist за деньги.
      И тут началось самое интересное…
      • 0
        Да-да-да, именно так. Помню, некоторые мои товарищи из числа более-менее независимых просто брали и покупали новые блоки, а «замарашки» оставляли на железо, с почтой не работающее: настолько сильно они не хотели связываться со Спамхаузом, а уж тем более — платить им за воздух без каких-либо гарантий.
      • 0
        Сейчас у них вайтлисты есть, пока что инвайт-онли, но, как мне кажется, в дальнейшем это будет за денежку.
        • +7
          Что-то мне насчет этого ничего, кроме ругательного «ну не педерасты ли» в голову не приходит.
          • +2
            Это не педерастия, это шантаж, переходящий в кибертерроризм.
    • 0
      Ни то слово. Мы вот случайно себе на голову приютили спамера (за неделю наделал делов). Так от черных списков и не только спамхауса «отскребались» 2 недели. И многие писали, что заплатите 116 уе или NNNN уе и уберем вас из списка. Но надо быть настойчивее — мы то же просили магистралов писать им — в итоге победили.
  • +1
    Масштабно. Администрация Spamhaus явно сломалась.

    Они сломались и тронулись еще тогда, когда из-за одного спамящего сервера в ДЦ блеклистом накрывался весь /24-блок.
  • +1
    Это не новость.
    в свое время был вынужден перенести почтовый сервер из Зенона в Релком, а потом еще дальше.
    Причина — бан BLем провайдера целиком. Провайдеры, ессно, развели руками. Типа, «мы с шантажистами и вымогателями переговоров не ведем». Позиция обоснованная, но что делать, если у адресата аккаунт у мелкого зарубежного хостера, и ни адресат, ни суппорт его провайдера в технике не смыслят ни бельмеса? Объяснить им, что можно и нужно сделать было совершенно нереально. пришлось примитивно перетаскивать сервак.
  • +3
    Вторую неделю не могу вычиститься из SBL. Изначальная причина внесения: «На ваших айпишниках висят ДНСы of spam-advertised domains», после перенастройки сервера клиента (чтобы он не использовал мои днсы) и отписки спамхаусу они внезапно внесли мой основной хостнейм в DBL потому что я якобы занимаюссь хостингом тех самых spam-advertised domains. Письма с мыльника в хуизе отлупаются их же спаморезкой (невзирая на обратные заявления на сайте), письма с гмыла игнорятся, письма от владельца AS игнорятся. При этом в среднем раз в три-четыре дня они пишут регистратору (Directi) просьбы заблокировать домены мои и моих клиентов, угрожая в противном случае внести и самого регистратора в DBL.
    Самое смешное в этой истории — то, что изначальный «виновник» представляет собой абсолютно, стопроцентно легальный немецкий интернет-магазин, с зарегистрированным юр.лицом, и реклама через спам ему попросту не нужна.
  • +2
    Трудно с ними, адеквата мало и ничего с ними не сделать к сожалению…
  • 0
    Да, помню свою недельную эпопею с ними и Хецнером.
  • +2
    4 дня! Насказанно повезло, месяцами с ними бились в свое время, полнейшие неадекваты.
    • +3
      Полнейшие неадекваты не столько они (они свой бизнес делают), сколько те, кто настраивает свои почтовые сервера по первой же howto из инетрнета, где указано рубить все письма на подлёте по BL. Максимум стоит использовать как одну из составляющих оценки, а ко по хорошему вообще опираться на эти данные не стоит.
      • +2
        Проблема не в SBL, а в том, что попасть туда можно без каких-либо усилий со своей стороны, а выскрестись неимоверно трудно. Учить потусторонних админов настраивать сервера… меня даже на 10% таких админов не хватит. Пойдите вон, поучите мыло.ру, они SBL пользуют вовсю.
        • –2
          а вы лучше их статьи о фильтрации почты почитайте, недавно пробегала, если ссылка нужна — личкой спросите
          там написано, что они сверяют данные из нескольких источников — если совпало везде — отбивают, если только в одном источнике подозрение — кидают в папку спам.
  • 0
    А вам не кажется что возможный выход — не пользоваться их SBL-ями?
    И не пользоваться сервисами, которые тупо фильтруют по их SBL-ям, вроде mail.ru.

    • +3
      А это вы расскажите всем тем, кто вам шлет письма. И регистраторам заодно.
    • +3
      и пользователям расскажите, что не надо пользоваться mail.ru
    • +1
      Все мучились, а выход такой простой! :)
  • +7
    Еще немного и BL будет равняться 0.0.0.0/0
    • +2
      IPv6, настало твое время.
    • +1
      Да уже неоднократно разные списки выкидывали такие фокусы. Сам погорел на этом, поэтому где могу — выкашиваю использование списков.
  • 0
    А какие превентивные действия предпринимали Вы, чтобы не попасть в блеклист?
    Я конечно не оправдываю спамхаус, просто интересно.
    • +2
      Дело в том, что мы например делаем вполне нормальные рассылки — прописаны все ptr, spf записи, все письма подписаны dkim, в рассылке присутствуют четкие инструкции по отписке, подписаны на все FBL и отписываем нежелающих по первому чиху, отписываем также несуществующие адреса (автоматически анализируем ответы от mailer-daemon), при этом подписываем опять же тоже только желающих. И контент стараемся делать тоже интересным.

      В общем, абсолютно чистые «белые» рассылки.

      И попали в блеклист просто потому, что какие-то спамеры разместили свои сервера в нашем дц и спамхаус забанил весь /24 блок ip адресов, в том числе и наши.
      • 0
        Да, действительно, вы старались. Но сервис рассылок. Видимо это смертельно :(
  • 0
    Мы за день решили проблему с их SBL-XBL.
    Правда проблема была проще, у нас разместился на впс известный спамер. Мы его заблокировали, оштрафовали и написали об этом в адрес снятия ип из сбл. В итоге в течение 6 часов все было решено.
    Хотя возможно наше расположение в Европе дало о себе знать. Плюс то, что они не могут заблокировать верхнего провайдера (дойче телеком).
    • 0
      А для клиентов у нас стоит либо обход днс-сбл либо его использование.
  • +3
    Мда. 21 век на дворе, а ещё кто-то пользуется SBL… Уволить таких надо и на работу сисадмином никогда больше не брать. SBL можно использовать только как дополнительную оценку, накидывающую небольшой процент к рейтингу, но никогда и ни при каких условиях не как основной механизм отсеивания спама. P.S. Полностью выпилил SBL со всех серваков прошлым летом. Спама больше не стало.

    А в организации, у которых админы используют SBL, надо сразу начальству писать — мол ваш специалист пользуется устаревшей и ненадёжной технологией, из-за чего с вами невозможно бывает связаться по независящим от отправителя причинам. Пускай санкции вводит.
    • +2
      Да всё отлично да, но практически в 80 процентах проблем с почтой приходиться общаться со спецами уровня «Мущина, вы не видите, у нас обед» (с).
      Сегодня уже вот пообщался.
      Не зря спросил у товарища а что сделали они.
    • –1
      К таковым, например, относится Yahoo и AOL. Возмётесь донести до их сведения?
      • 0
        печально. То-то у меня из 5000+ контактов в адресной книге никого нет с адресами аола и яху… Вообще если кто-то пользуется ущербной технологией, то менее ущербной она от этого не станет. Даже если этот кто-то гугль или майкрософт. Не надо брать плохих примеров, надо брать хорошие. SBL — однозначное зло.
  • +1
    Может проще сразу запретить почтой пользоваться, а вдруг там спам или еще что похуже.

    Вспоминается Акадо с блокировкой 25 порта всем с формулировкой «ибо нефиг, а если и включать, то за дополнительную плату»
    • +2
      Неплохое решение, дёшево и сердито. Для отсылки почты пользователями есть 587 порт. А серверов, которым и нужен 25 порт, среди домашних пользователей не может быть. А если и есть — можно каждый случай рассматривать отдельно.
      • 0
        Забавно.
        А я, как пользователь, на такое решение злился, у меня внезапно перестал работать бат.
  • 0
    Тоже попали в блеклист спамхауса, по похожей схеме — он просто забанил целый пул адресов 95.163.88.0 и 95.163.89.0 из-за спамеров/вирусов, которые сидели на двухсотых айпишниках из этих подсетей:
    www.spamhaus.org/sbl/query/SBL131667

    Просто запросили у хостера еще один ip адрес и перенесли exim на него, все стало нормально. Со спамхаусом пускай хостер бодается
  • 0
    Ну а если и этот забанят, продолжите менять адреса
    • 0
      тьфу, промазал кнопкой «ответить». Пардоньте
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Довольно сложно отвечать на вопрос:

      — А чем вы докажете, что больше не едите детей? А вот мы считаем, что вы едите, мы слыхали из надежных источников, докажите!

      Как можно доказать что ты не рассылаешь спам и не являешься киберпреступником (в отличие от обратного, когда могут быть какие-то объективные критерии и доказательства)? Мамой клясться разве что.
  • +4
    На сколько я понял уже много лет назад, SpamHaus — зло-контора, зарабатывающая рэкетом. Они под любым предлогом добавят ваш адрес в блэклист и будут требовать деньги за удаление оттуда.
    • 0
      Несколько раз с ними сталкивался. Денег не просили, но там явно работают люди, которые ненавидят всех кто не из офиса спамхауса.
      В итоге тоже плюнул и менял IP адреса.
  • 0
    Тоже несколько раз испытывал на «себе» их отношение к пользователям своей системы
    Использую их только в «плагинах» к спамассассину которая снижает оценку, но не режет

    Раньше еще достаточно мерзко поступал мылору блокируя подсетями налево и направо
    Стабильно каждый месяц блочили подсети тогда еще корбины и все наши почтовые сервера мирно курили
  • 0
    Было аналогичное. С тех пор сделал вывод для себя, что хуже спаммеров могут быть только антиспаммеры :)
  • –4
    Зло не в спамхаусе, а в устаревшей технологии обмена электронными сообщениями. Да, «классический» е-мейл устарел. Пора признаться себе в этом и делать новую почту.
    • +2
      … и даже странно что до сих пор никто не упомянул про jabber [/irony]
    • –1
      ага с блэкджеком и шл продажными девушками

      Как и писали выше, что большее зло не от спамеров, а от админов «антиспаммеров»
    • +1
      Классический емейл тем и хорош, что он классический. Не вижу в нем никаких проблем и неудобств.
      • 0
        вот в том и проблема, что такие как вы не видят в нём проблем

        но, к сожалению, smtp настолько врос корнями в инфраструктуру, что его оттуда выпилить примерно так же просто, как, например, http
        • –2
          «такие как вы» похоже на обвинение,
          такие как я — это:
          — меньше 30 лет
          — женат, ребенок
          — замкадье
          — занимаются разработкой ПО
          — имею один очень крупный проект

          клиентов у этого продукта порядка 200 (госсектор), постоянное общение с заказчиками, поставщиками, клиентами, подрядчиками, субподрядчиками и т.д.

          Все исключительно через email, иногда через skype.

          Такие как мы используют то, что удобно.
          • –1
            Вот именно всё это и есть очень плохо. От вас, возможно, что-то зависит, и такие, как вы (люди, от которых что-то зависит) не видят проблем с smtp. Это и есть главная причина, по которой от него трудно уйти.
            • 0
              Подождите… вы говорит про проблему в протоколе SMTP или про проблему емейла как технологии и идеологии? Я лично спорил про емейл в целом, проблемы протокола не должны вызывать желания «делать новую почту».
              • 0
                Лично я недоволен именно smtp. Например, imap мне очень нравится и я считаю, что он очень недооценен и заслуживает большего распространения.

                Проблема спама в том виде, в каком она наличествует, сейчас тоже касается smtp. Даже smtp, если обязать всех использовать spf и dkim, был бы значительно устойчивее к спаму (точнее, проблема спама резко переместилась бы в юридический сектор вопросов к регистраторам доменов, с которых происходят спаммеры). Но ведь даже spf, куда уж проще схема, необязателен!
                • 0
                  … я не имел ввиду imap вместо smtp — это разного рода протоколы, смысл в том, что в принципе схема не-мнговенного обмена сообщениями весьма удобна и хороша, но вот конкретная реализация транспортного протокола — smtp — устарела и не соответствует современным реалиям.
                  • 0
                    с этим спорить смысла нету, я высказывал точку зрения именно в сторону удобства схемы не-мгновенного обмена сообщениями
  • +2
    Ха! Только /24 было заблочено — wе ж цветочки! ;-) Просто по SpamHaus'у действительно многие проверяются, вот и шум всегда такой… Вот, например, только сегодня увидел, как одни товарищи целиком весь ServerSnab/TrueVDS заблочили: www.apews.org/?page=test&C=258&E=503928&ip=94.127.64.0
    /21 — мелочь же… И причина аналогично топику феерическая: «Spambots, zombies, contaminated CIDR, bad reputation provider». Особливо последнее словосочетание радует. :-)
  • +1
    Возможно у кого-то есть список почтовых сервисов, использующих SBL? Хочется узнать что это за говно-сервисы, из-за которых приходится тратить время на разборки со спамхаусом
    • 0
      1) Большая часть free mail сервисов в штатах и особенно в Европе, включая yahoo (но у них серверов много и некоторые в итоге пропускают почту), иногда азиатские free mail сервисы (по ним у меня статистики мало).
      Всех по возможности лучше отправлять на gmail.com
      2) Частные сервера/домены, которые настроены по howto. Тут проще — владельцы обычно сами вносят тебя в whitelist или вообще отказываются от sbl.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      ну и чего вы этим добьётесь? ;)
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          я имел ввиду, что ваша маска ничего не маскирует: 0.0.0.0/24 = 0.0.0.0/255.255.255.0 = 0.0.0.0-0.0.0.255 — таких адресов в интернет нет ;)
  • +6
    администрация спамхауса уже давно сидит на бутерате в своей палате номер 6. Ни одна нормальная компания их списки уже не использует.
  • +1
    Повезло вам с /24… меня как-то по /16 забанили эти гады!.. :(
  • 0
    спамхаус это сетевые вымогатели-неадекваты +1
  • 0
    Ещё хуже Spamhausa — SORBS. А самое страшное это непробиваемая броня людей, которые свято верят в эти сервисы.
    Вот что мне ответил «Админ Большого Банка» на вопрос насколько профессионально использовать эти сервисы чёрных списков:
    «Можно сколь угодно долго спорить о профессионализме и методах отсева спама.Какой админ лучше/хуже?
    Который проверяет сервера по "черным спискам", или который допускает попадание своего сервера в эти списки?
    Сервис SORBS работает с 2003 года и давно проверен.»

  • 0
    Есть еще bl.spamcop.net
    spamcop.net — стабильно работающие и «хорошие» :))
  • 0
    Я бы не был очень категоричен в отношении различных dnsbl. Их можно использовать как дополнительные индикаторы — как это сделано в SpamAssassin.

    Во всяком случае, полезно оставлять abuse@domain открытым для жалоб. Тогда при желании можно добавить в белые списки тех, кто вдруг оказался в dnsbl, но при этом пользоваться их преимуществами.

    У нас по статистике получается ложное срабатывание в 4-6 случаях на 10 тыс. писем, отсеянных по dnsbl
  • 0
    Spamhaus — отморозки, подтверждаю.

    Мы — email-marketing провайдер наверное номер 1 в мире. У нас целый отдел занимается вот такими вот разборками, и слово spamhaus для них — синоним анальной боли.

    А недавно мы пытались купить у них платный сервис, чтобы проверять домены в отправляемой почте. Так вот они отказались!!! Типа не желают иметь дела со «злостными спамерами».

    В итоге купили SURBL.
  • 0
    Вот именно поэтому я использую Яндекс почту для доменов. Если что случиться — проблемы разгребать будут они сами.
  • 0
    На форуме STOPhaus освещают шатнажистскую деятельность spamhaus. Есть русский раздел: stophaus.com/forumdisplay.php?167-%26%231056%3B%26%231091%3B%26%231089%3B%26%231089%3B%26%231082%3B%26%231080%3B%26%231081%3B-%26%231092%3B%26%231086%3B%26%231088%3B%26%231091%3B%26%231084%3B-Russian-forum

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.