Заказчик позвонил, сказав, что их электронная почта приходила от определенных поставщиков. Исследовали его и выяснили, что они были внесены в более чем один RBL / CBL. Брандмауэр с ограничениями разрешает трафик только через порт 25 с почтового сервера. Затем запросил удаление из RBL / CBL.
У меня двоякий вопрос:
1) Я не могу определить первоначального виновника попадания в черный список. Я ищу рекомендации по инструментам или технологические рекомендации для определения основной проблемы для решения
2) Какие шаги вы используете для предотвращения попадания в черный список?
Чтобы предотвратить попадание в черный список в будущем, разрешите отправлять электронную почту только авторизованным SMTP-серверам в сети Заказчика (что, я полагаю, вы уже сделали с помощью бита «Ограниченный брандмауэр ...»), убедитесь, что вы не являетесь открывать ретранслятор и поощрять Клиента не отправлять нежелательные коммерческие электронные письма, которые могут рассматриваться как спам.
Я предполагаю, что у Заказчика было вредоносное программное обеспечение на компьютере, который отправлял электронную почту, и, поскольку все их компьютеры могли отправлять SMTP в Интернет, вредоносная программа могла доставлять электронные письма, которые она генерировала.
Я бы обнюхивал трафик за межсетевым экраном, привязанный к межсетевому экрану, ища исходящие SYN-запросы в Интернет через TCP-порт 25. Это может найти вашу виновную машину (-ы), если вредоносная программа не выяснила, что вы сделали. и «замолчал». Wireshark или другое программное обеспечение-сниффер сделает то, что вам нужно.
Полагаю, это не проблема с занесением в черный список электронной почты. Это проблема «пользователи работают как« администраторы »и позволяют третьим сторонам злоумышленников использовать свои компьютеры», корень проблемы.
Я ищу рекомендации по инструментам или технологические рекомендации для определения основной проблемы для решения
Гадкий, ужасный, уродливый интерфейс, но работает вполне нормально. Это было написано Майкл Реннер (бывший сотрудник) и еще один мой друг.
Что же до конечной причины нахождения: я не мог придумать ничего лучше, чем проверить логи. Центральный сервер журнала очень полезен, так как у вас, по крайней мере, есть центральное место, чтобы проверить, что произошло
Какие шаги вы используете для предотвращения попадания в черный список?
Обязательно иметь работа с двойным включением / выходом легко доступны. Также у многих провайдеров есть спам-ловушки, где некоторые люди будут использовать этот адрес для подписки на ваш сайт, и если в вашем приложении нет надлежащей двойной подписки, и вы начнете отправлять им более одного или двух писем, вы попадете в черный список.
Стандартные вещи, такие как разрешение только отправителям SMTP + TLS с именем пользователя и паролем, правильный DNS (обратный DNS) и тому подобное, конечно, должны быть настроены.
Также есть несколько «белых списков провайдеров», которые будут проверять вас случайным образом. Конечно, я забыл ссылки, на самом деле мы их не используем, так как решили, что стоимость услуг, которые они предоставляют, слишком высока.
Чтобы определить основную проблему, проверьте сетевой IP-блок клиента и убедитесь, что существует легко обнаруживаемый дескриптор злоупотребления, зарегистрированный ARIN или региональным сетевым IP-менеджером. Если вы интернет-провайдер, убедитесь, что их блокировка сети ведет к тому, что ваша служба по борьбе с нарушениями становится контактным лицом, и что почтовый ящик для нарушений находится под контролем для быстрого реагирования.
Конечным результатом является то, что заражение спамом в конечном итоге отправит спам в спам-ловушку или кого-то, например, SpamCop, который сообщает контактному лицу по злоупотреблению. На основании этого отчета у вас есть IP-адрес, по которому вы сможете найти зараженную машину. Это будет двухэтапный процесс, если машина находится за брандмауэром.
Второй распространенный случай - когда машина, рассылающая спам, является законным почтовым сервером. Учетная запись электронной почты взломана путем угадывания неверного пароля (например, «тестовый», «пароль» и т. Д.) Или с помощью кейлоггера на компьютере, который использовался для получения электронной почты. В этом случае рассылку спама можно остановить, изменив пароль учетной записи электронной почты. Конечному пользователю может потребоваться очистить все машины, чтобы предотвратить утечку нового пароля электронной почты кейлоггером. В этом случае владельцу законного почтового сервера может потребоваться проверить журналы, чтобы найти дополнительные подсказки и убедиться, что проблем больше нет.
Наличие активного контактного адреса для злоупотреблений обычно предотвращает занесение в черный список, поскольку вы знаете о проблеме, когда она начинается.