SpamListing

Probabil că majoritatea cititorilor mei sunt familiarizați cu conceptul de “SpamList”. Dacă nu (și pentru restul) o să fac un scurt rezumat mai jos. Ceilalții pot să sară direct la paragraful principal.

Listele de spam sunt o colecție de adrese IP (și/sau domenii) de pe care s-au primit mail-uri de tip Spam. Majoritatea se bazează pe raportări (automate sau nu) făcute de utilizatorii care au primit mail-urile de tip Spam. Altele folosesc “honeypot-uri” pentru a “prinde” pe cei care fac spam. Mi s-a întâmplat de câteva ori să pățesc rușinea de-a fi listat cu unele din serverele pe care le administrez într-o listă de spam. O să minimizez acest aspect și-o să prelungesc o vorbă populară “Rar găsești mașină nelovită, server de mail nelistat în spamlist-uri și femeie nefutută…”.

Bun, revenim la problema mea de azi. Am un server de mail care a mai ajuns acum vreo 2-3 săptămâni într-o listă de spam pentru simplu fapt că făceam forward la tot ce venea pe adresele a 3 utilizatori într-un alt server. Cei de la destinație s-au cam șucărit (poveste lungă și confidențială) și au marcat (automat sau nu) ca spam mail-urile și-au raportat serverul nostru. Am avut o distracție de câteva zile pentru a repara pagubele produse de treaba asta. Iar clienții respectivi sunt genul de clienți care-și bazează afacerea (extrem de bănoasă) pe mail într-o foarte mare măsură.

După discuții cu providerul (una din listele în care eram listați nu accepta delistarea decât dacă cererea venea din partea providerului de internet, proprietarul IP-ului respectiv), după rugăminți fierbinți (“nu mai facem băi nene, am scos forward-urile”), după muit ăia de la destinație și bătut obrazul (“bine băi bulangiilor, de ce n-ați pus serverul ăsta în whitelist că doar lucrați cu noi în aceeași găleată”), am rezolvat într-un final problema.

Toate bune și (relativ) frumoase până azi. Când aflu (dintr-o altă sursă, gen rușinică) că cică suntem iar listați cu serverul respectiv într-o altă listă de spam. Atenție, asta la aproape o lună distanță după prima distracție. Lună în care am suflat și-n iaurt, am tăiat tot ce însemna forward de mail în extern, am filtrat la sânge spam-ul și-am avut în general grijă. Îmi dau șuturi în cur și purced la a face troubleshooting să văd de unde ni se trage. Prima chestie, hai să vedem în ce lista de spam am mai ajuns. Și dau de listă. www.uceprotect.net se cheamă. Caut IP-ul să văd de ce-i listat acolo și mă apuc să-mi dau palme. Repetat și dureros. Aflu întâi că lista asta de spam are o abordare nițel diferită. Mai precis are 3 niveluri. La primul nivel se afla listările IP-urilor. La nivelul 2 se află listările unor clase de IP-uri. La nivelul 3 se află listare la nivelul întregului ASN.

Ip-ul nostru nu se afla la nivelul 1. În schimb se afla la nivelul 2 și 3.

Spicuiesc din pagina în care se află expuse motivele listării și pașii care trebuie urmați :

Who is responsible for this listing?
YOU ARE NOT!. Your IP 193.***.***.*** was NOT involved in a spamrun, but has a spammy neighborhood. Other customers within this range did not care about their security and got hacked and started spamming, while your provider has possibly not even noticed that there is a serious problem.
We are sorry for you, but you have chosen an provider not acting fast enough on spammers.

Therefore we recommend:
Please send a compliant to your provider and request them to fix this problem immediatly.
Think about this: You pay them for, that you can use the Internet without problems.
If they are ignoring your complaint or claiming they can’t do anything, you should consider to change your provider.

Can’t you make an exception for me?
We never make exceptions. Requests are futile. Only your provider can fix this problem.

How can this netrange be removed from Level 2?
After your provider has fixed his problems, the UCEPROTECT-Level 2 listing will be removed automatically and free of charge as soon as the causal Level 1 listings will expire.
Every IP temporary listed at Level 1 expires 7 days after we have seen the last abusive action originating from it.
If your provider don’t want to wait for free expiration, they can optionally do Expressdelisting, which is charged a total of 150 EUROs per Level 2 listed allocation.
It is necessary that all problems which have caused the Level 2 listing are fixed in first place, otherwise this netrange might end up in Level 2 again within a short timeframe.

E nevoie să traduc ? Hai să traducem. Pe rând.

Am ajuns în lista de spam pentru că IP-ul nostru public se află într-o clasă (/24) de alte adrese IP publice și o parte din astea au făcut spam. Noi suntem de vină pentru că ei au făcut spam și noi trebuie sa luam atitudine în fața providerului de internet ca acesta să ia măsuri la rândul lui împotriva celor care fac spam. Avem altceva de făcut ? Pai nu prea.  Ce rămâne de făcut ? Pai fie așteptăm ca toate problemele cu IP-urile din subnet care au făcut spam să dispară și în 7 zile după ce nu mai există raportari la nivelul adresei IP respective va fi delistată. Asta înseamnă că depindem de cele 7 adrese IP care au făcut spam dintr-un subnet /24 (254 de adrese IP) ca să scăpăm de problemă. Și evident că trebuie să ne rugăm ca în timpul ăsta să nu apară și altele. Ar mai fi o posibilitate. Delistarea de urgență. Problema e că delistarea de urgență costă 150 €.

La nivel de ASN delistarea de urgență este 250€.

Genială mișcarea. Vorba lui Bogdan, dacă nu mai ies bani din Viagra și Cialis facem rapid o listă de spam, listăm clase de IP-uri cu totul și SIGUR găsim câțiva fraieri care au afaceri și ar da banii ăia ca să scape de problemă.

Bine, la fel de tâmpiți și administratorii care folosesc pe serverele lor genul ăsta de liste de spam.

5 Comments SpamListing

  1. Actzipild

    In afara de solutia data de Dan, poti contacta adminii de la serverul de email sa vezi de ce folosesc DNSBL-ul respectiv si eventual sa le ceri sa te bage intr-un whitelist?

    Reply
  2. Meekuu

    @dan, daca iau o clasa /24 de la provider nu tot la mana lor sunt ?
    In plus nu avem nevoie de o clasa intreaga de IP-uri publice (asta inseamna risipa).

    @Actzipild, mdah, unul din adminii de acolo a diagnosticat problema si a gasit IP-ul in lista respectiva de spam. Dar nu prea l-a lovit in ochi partea cu “blocatul intregii clase /24 printre care si prostii astia”.

    Reply
  3. tcristi

    mdea, e mai veche faza asta cu uceprotect. partea nasoala e ca RDS nu face in muuulte zone o separare de clase IP ptr home use si business use ; si uite asa te trezeste cu anumite locatii business care sunt blocate din cauza ca un pusti virusat din acelasi /24 cu tine a rupt internetul cu spam-uri …

    Reply
  4. Meekuu

    @tcristi, Nu mi se pare anormal să nu facă separarea.

    Termenul de “clase de IP” provine de pe vremea adresării classful, ori avand in vedere IP-urile RDS gen 86.x.x.x asta inseamna că intră într-o clasă A (/8). E normal ca providerul să împartă spațiul de adrese pus la dispoziție într-o formă cât mai logică pentru ei (intern). Că de aia se pot face acum classles.

    din cauza ca un pusti virusat din acelasi /24 cu tine a rupt internetul cu spam-uri …

    Revin din nou la tampenia crasă de-a bloca un întreg /24 pentru 7 IP-uri (că atâtea erau în cazul meu) care au făcut SPAM. Nu văd de loc logica acestui fapt. Nu văd cum ar putea blocarea unui /24 întreg să ajute la stoparea spamului mai mult decât dacă ai bloca doar adresele IP individuale.
    Bineînțeles, dacă vrei să te asiguri că primești ăia 150-250€ ceruți, mai bine faci o mârlănie de genul ăsta decât să umbli cu blocarea IP-urilor unice.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *