22 мая 2015 в 12:36

Как попасть в списки Spamhaus, не рассылая спам

Незапрошенная корреспонденция (СПАМ), несомненно, стала неотъемлемой (увы!) частью современной сети Интернет. Конечно же со спамом можно (и нужно!) бороться, но методы такой борьбы могут быть различными. Можно бороться со спамом на этапе отправки писем, можно на этапе получения. При получении писем их можно фильтровать различными способами — проверка SPF, DKIM, спам-листы. Вот о последнем, а именно о спам-листах Spamhaus я и хотел бы написать.

В принципе, спам-листы являются полезным изобретением — их использование действительно позволяет отсеять значительную часть спама. Однако, такие листы имеют смысл лишь если в них есть актуальная информация. Вот тут-то и начинаются проблема.

Существует такая организация как Spamhaus, спам-листы от которой являются весьма популярным и, более того, некоторые реестры доменных зон принимают данные из этих списков как основание для блокировки домена. Тем не менее подходы Spamhaus несколько удивляют.

К примеру, IP адрес может попасть с спам-листы, даже если с него в принципе не отправлялось ни одного письма. Справедливости ради стоит отметить, что обычно это всё же связано тем или иным образом с сомнительной деятельностью, но при виртуальном хостинге попадание IP адреса с такой список влияет на всех пользователей этого хостинга, включая добросовестных, которых обычно большинство.

Несколько лет назад при таком внесении Spamhaus предоставлял достаточные доказательства с заголовками письма, но не так давно подход изменился. Теперь такое внесение Spamhaus производит не только при обнаружении рассылки спама, но и при обнаружении ботнет-контроллеров, однако доказательства весьма лаконичные. К примеру, в одном из SBL (http://www.spamhaus.org/sbl/query/SBL194743) доказательством такой деятельности был открытый 6522 порт, но был ещё SBL194500 (сейчас, правда, уже удалённый) где порт был 443 и всё доказательство заключалось в подключении к этому порту при помощи telnet.

Таким образом, для попадания в спам-листы достаточно чтобы _один_ клиент разместил ботнет-контроллер (которым последнее время является просто php скрипт). Даже если предоставляющий виртуальный хостинг провайдер непримиримо относится к рассылке спама, он всё равно рано или поздно попадёт в спам-листы Spamhaus и узнает об этом лишь после множественных обращений к нему его клиентов с вопросами вида «почему моя почта теряется». Существует, правда, услуга «DNSBL Datafeed», которую предоставляет Spamhaus и она позволяет получить информацию о внесении в листы несколько раньше, но эта услуга, естественно, платная.
@mindego
карма
4,0
рейтинг 0,0
Самое читаемое Администрирование

Комментарии (38)

  • +10
    Радуйтесь, что /32, а не /24 или /14.
    Вообще проблему можно решать с другого конца. Надо отказываться от любого сотрудничества с админами, которые исползуют SBL спамхауса.
    Как по мне, адекватно работают вот эти два (но на основании них просто письма метятся, так чтобы на основе каких-то списков отказывать в доставке, никогда такое не надо делать)
    www.openbl.org lists.blocklist.de
    • 0
      www.senderbase.org это ты вот этим товарищам расскажи. у кого Ironport стоит.
      • 0
        Это вопрос конфигурации, а не конкретного ПО. ПО не виновато, виноват эксплуатант.
    • 0
      хех… относительно недавно ждали почти месяц пока исключат наш корпоративный IP на одном популярном хостинге, который попал в 24ю сеть на спамхаусе из-за какого-то 1-2х, ну может максимум 10 плохих IP…
  • +9
    Я уже как-то писал и повторю еще раз. за использование спамхауса надо публично пороть.
    • +3
      Надо. Но пороть yahoo.com (а они этим тоже страдают) — никакого ремня не хватит.
    • +2
      А как тогда жить, без спамхауса? Оно к примеру у меня отбивает 10к писем в сутки. Ложных срабатываний — крайне мало. — Если бы не спам хаус, то тогда мне потребовалось использовать бы или почту для домена от Яндекс, гугл, мейл.ру, и т.п. или пользоваться outlook.com — что уже не совсем дёшего.

      Против почт для домена — ничего не имею, но интегрировать такую внешнюю почту, не всегда удобно (к примеру авторизацию по LDAP, SSO), и как туда перенести, скажем 500 гигабайт почты — я представляю с трудом.

      P.S. сам попадал в стоплист за ботнет активность. Насилу выковырял себя оттуда… Так что да — они таки козлы.
      • 0
        Грейлистинг не помогает? Если память не изменяет, результаты очень неплохие, даже если фильтрация по базам не включена вообще.
        • +1
          Не могу ничего сказать, не настраивал, по двум причинам:

          Ни кому не удобно ждать первого письма по пол часа.

          Я думаю, что спамеры, скорее всего пользуются просто чужими SMTP (в основном), и им грейлистинг не страшен. ИМХО.

          • 0
            Вы сильно ошибаетесь. Спамят просто домашние или офисные заражённые компы пользователей (то есть, ботнет).

            Насчёт получаса — ну, чушь собачья же, email — не средство мнговенных сообщений, пол-часа вообще не срок. Кому неудобно и хочется сразу — пусть пользуют IM, коих полно.

            Кроме того, вы можете, например, грейлистить только подозрительную почту (без подписи DKIM как пример, а гуглы-мейлы-яндексы все с DKIM и задержаны не будут).
            • 0
              Кхм… Не уж-то ещё не все хомячковые ip, занесены в стоп-листы? Не ужели не все провайдеры ещё не закрыли 25 порт?

              Кстати, такой вопрос: а собственно, что спамерам мешает учитывать грейлист?
              • +1
                Спамерам с серверов ничего не мешает. Но если спамят хомячковые компы, то они грейлистом отсекаются, а такого спама — подавляющее большинство.

                Если мой домашний провайдер заблочит 25-й порт, или любой другой — он резко потеряет клиентов. Лично мне, например, неуютно жить с провайдером, который что-то за меня там решает и делает что-то не по моей инициативе. На самом деле регистрируют подозрительную активность и блочат если она наблюдается, но по умолчанию всё разрешено, а с моей стороны подозрительной активности нет.

                А ещё вспомните про офисные компы, договор на юрлицо и даже эникея нет в силу жабовости и недалёкости куроводства, или же просто из-за кризиса. Ну рассылают они спам, им-то что, им же никто претензии не предъявляет. А для провайдера что-то самовольно заблокировать юрлицу, даже мелкому, вовсе не так просто, нужно основание куда более веское, чем какие-то предположения по поводу подозрительного трафика.

                Нужно законодательство, которое будет охранять интернет от хомячков. Имеешь в офисе или даже дома заражённые компы, не следишь за этим, рассылаешь спам или брутфорсишь ssh — штраф. Вот тогда будут думать о безопасности интернета.
                • 0
                  Та же корбина исторически блокировала исходящий 25/tcp у всех, кто не поставил галочку «не блокировать» в личном кабинете.
                • 0
                  Вообще соглашусь. На Майские праздники, спам, существено упал. Следовательно делаю вывод, что очень много офисных ЭВМ этим делом занимаются.

                  И всё же, а почему ботнетерам, столь сложно преодолевать серые списки? Чем сложно их учитывать? Или запускать простейший smtp сервер, который уже будет всё это учитывать?
        • 0
          Не помогает. То есть, что-то он конечно отсекает, но то, что он обычно отсекает, обычно нормально отсекается и просто протокольным фильтром (проверяющим формальное соответствие протоколу ESMTP, как то — наличие обратной записи DNS, формально корректный хостнейм в HELO или EHLO и так далее).
          • 0
            Вот и я так думаю… Что формальное соответствие протоколу ESMTP + RBL. Грейлист особо не поможет.
    • +1
      Exchange 2010. Расскажите, как бороться со спамом без черных списков.
      • 0
        Угу, что в IronPort, что в ORF существенная доля спама отсекается через RBL.
      • 0
        MTA перед Exchange.
        Как коммерческие решения так и бесплатные.
        Тот же Kaspersky или SpamAssassin.
        • 0
          У мокрософта долгое время на фронте стоял… postfix, которого для винды вообще не существует. (Я имею ввиду, mx-записи microsoft.com указывали на сервер, на котором на 25-м порту отвечал постфикс.)
          • 0
            Зато сейчас всё на Exchange, а бэкенд Outlook.com скоро переедет на одну платформу с Office 365.
  • +5
    Фи. Всего-то один адрес.
    Нам блокировали /22, а моим коллегам блокировали всех апстримов до тех пор до полного прекращения пиринга.
    • +1
      Тут хохма не в том, что адрес один, а в том что можно попасть даже если ты не рассылаешь ничего и следишь за тем, чтоб твои клиенты ничего не рассылали.
  • +4
    spamhaus — известные шантажисты
    www.stopspamhaus.org/2014/06/ripoff-report-about-spamhaus-crime.html
  • +1
    Можно вообще не держать нестандартных открытых портов, не делать массовых рассылок — и всё равно попадать в листы Спамхауса через жалобы конкурентов и недоброжелателей. Я так дважды попадался. Один раз со временем сами вычистили, другой пришлось запретить регистрацию с email сервисов, которые работают со Спамзаусом. Ресурсы некоммерческие и платить бабки за разбан шантажистам — ну его…

    Сейчас же просто держу для отсылки почты левый VPS на DO, во-первых, IP не совпадает с IP сервер и недоброжелатели так глубоко не копают, во-вторых, в случае, если доберутся, можно просто смерть IP.
  • +1
    Прекращайте жрать shared-хостинг. Ну сколько уже можно? Контейнеры, виртуалки, PaaS'ы — к вашим услугам десятки альтернативных решений. Но нет, надо выбирать самое технологически ужасное, коммунальное, полное склок и срачей за ресурсы, решение.

    ЗЫ Это не оправдывает spamahaus.
    • 0
      А виртуалки не используют IP адреса что ли, которые spamhaus сразу блоками легко может забанить?
      • 0
        Используют. Но во-первых «блоком», во-вторых у нормальных провайдеров несколько регионов. В третьих при правильном развёртывании «альтернативная копия» появляется в течение единиц минут.
        • 0
          И через сколько блокировок провайдер перестанет развертывать копии и пошлет клиента лесом? )
          • 0
            Ни через сколько. Если abuse есть — один вопрос. Если нет — spamhaus идёт лесом. Как вы думаете, волнует amazon или rackspace мнение spamhaus'а?
            • 0
              Может волновать аплинки. А без аплинков никакого сервиса не будет )
              • +1
                Я хочу увидеть сообщение о депиринге гугла, амазона или майкрософта.

                Не переоценивайте значимость spamhaus'а.
                • 0
                  Не все провайдеры имеют уровень гугла и амазона )
  • 0
    Бугуга. Мой домен в списке спамхауса потому что ip принадлежит Белтелекому — регистратору-монополисту. И ни Белтелеком ни самспамхаус не собираются что-либо предпринимать. Видимо ждут суда.
    • 0
      Купите себе какую-либо дешевую VPS за пределами РБ и используйте ее как релей. Указ N60 это не нарушит, по карману не ударит :) Главное уточните, есть ли возможность изменить PTR для внешнего IP.

      Конечно, это сработает только в том случае, если у вас почта на своем сервере.
      • 0
        Спасибо за совет!
        Да. почта на своём сервере. Обязательно попробую этот способ.
  • +1
    мы попали в черные списки спамхауса «заодно».
    спамхаус пометил спамерской подсесть адресов владельца выделенного сервера.
    просто так выйти не удалось, только сменой IP.

    по словам хостера, он сильно заинтересован в решении ситуации, причиной постановки в ботнет был клиент, не(достаточно?) заботящийся о безопасности.

    в итоге из-за одной паршивой овцы куча организаций имеет неудобства с доставкой почты, хостер теряет клиентов и деньги (на покупку нескомпроментированных адресов и бонусы клиентам).

    • 0
      больно знакомая ситуация… ток хостер впски таки решил проблему и добился исключения 24й сети. правда через почти месяц…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.