作者 主題: 被 CBL 加入黑名單  (閱讀 14499 次)

0 會員 與 1 訪客 正在閱讀本文。

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
被 CBL 加入黑名單
« 於: 2009-08-03 11:07 »
最近一個月起, 公司 outbound mail IP 一直被加到 CBL 黑名單, 一直找不到原因. 想請各位前輩給一些意見.
架構和設定狀況如下:
1.Mail flow:
mail box server(exchange 2003) ---> mail hub server (exchange 2003) --->  outbound relay server ---> firewall ---> Internet

2.Anti-virus:
mail 由內到外共掃了三次
mail box server: Microsoft Antigen
mail hub server: TrendMicro Scan Mail  (ScanMail 的 Anti-spam 也有啟動)
outbound relay server: Sophos

3. Firewall:
Outbound relay server 1 to 1 NAT mapping 到一個 Public IP.
只 allow outbound relay server 可以連到 Internet 的 TCP 25 port, 其他 IP 一濾 block.
WAN to outbound relay server ---> block all

4. DNS 設定
outbound relay server DNS 正反解都一致
outbound relay server 的 FQDN 和 IP 都有加到 DNS SPF.

比對被列入 CBL 的時間點, 去查前後一小時的 mail log 也看不出異常的 mail.
« 上次編輯: 2009-08-03 11:09 由 蜜蜂 »

kknrs29423

  • 懷疑的國中生
  • **
  • 文章數: 58
    • 檢視個人資料
回覆: 被 CBL 加入黑名單
« 回覆 #1 於: 2009-08-03 17:04 »
它的lookup工具裡的detail 有寫什麼原因嗎 ?

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
回覆: 被 CBL 加入黑名單
« 回覆 #2 於: 2009-08-03 18:52 »
沒寫原因, 寫信去問他也不告訴你.
網頁上的 FAQ 只說明了可能被列的原因, http://cbl.abuseat.org/checkploit.html
1. 有電腦中毒了在發大量 mail.
2. Open Proxy

第1點暫時排除, 因為log裡看不到短時間大量. 但長時間持續目前還在分析中.
第2點目前在找工具檢查內部的 mail server, 看是否有被種 proxy bot.

還在努力中...



netwalker

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
回覆: 被 CBL 加入黑名單
« 回覆 #3 於: 2009-10-20 14:55 »
我們公司在七、八月時也發生一樣的狀況。
發信問CBL標準在那裏,沒回應;
內部掃毒,沒發現狀況。

最後,mail system的負責人靈光一閃,把Mail Server外寄的IP由中華的線路切換到台固,就解決了一切煩惱。
推測是中華的某段IP中有人是spamer的跳板,剛好跟我們同個Class C,所以CBL大手一封就是一整個Class C。

anderson1127

  • 訪客
回覆: 被 CBL 加入黑名單
« 回覆 #4 於: 2009-10-23 13:28 »
不如採取守株待兎法...

在FW之前,裝一台HUB (一定要Layer 1 HUB,市售switch hub皆不可用)
裝一台Linux並使用ntop 在這台HUB上監聽所有的packet ,並記錄!!

觀察1星期,並查看可疑的connection ...

jonathan_lwo

  • 活潑的大學生
  • ***
  • 文章數: 320
    • 檢視個人資料
回覆: 被 CBL 加入黑名單
« 回覆 #5 於: 2009-12-02 16:49 »

推測是中華的某段IP中有人是spamer的跳板,剛好跟我們同個Class C,所以CBL大手一封就是一整個Class C。


如果是這樣,那CBL不就太超過了
隨隨便便就封 email
 ???

liteC

  • 憂鬱的高中生
  • ***
  • 文章數: 158
    • 檢視個人資料
    • 軟體
回覆: 被 CBL 加入黑名單
« 回覆 #6 於: 2009-12-08 02:06 »

最後,mail system的負責人靈光一閃,把Mail Server外寄的IP由中華的線路切換到台固,就解決了一切煩惱。
推測是中華的某段IP中有人是spamer的跳板,剛好跟我們同個Class C,所以CBL大手一封就是一整個Class C。


很有可能. 之前架在中華電信的固定IP老是寄到對方的SPAM folder
後來換到國外主機就沒問題了
非常謝謝學長們熱心回答我發問的問題
非常感寫 m(_ _)m

tonyvan123

  • 活潑的大學生
  • ***
  • 文章數: 447
    • 檢視個人資料
回覆: 被 CBL 加入黑名單
« 回覆 #7 於: 2010-01-13 08:45 »
以下是我所作的測試提供給各位參考看看會作這個測試原因有二
一.常有合作廠商被CBL設為SPAM
二.做出較適合的攔阻組合

現在主要用access+header_chechs+check_sender_access,至於reject_rbl_client原已被我所捨棄,不過我另一個同事對其情有所鍾而被保留

用myhome.idv.tw假冒myfriend寄給mycompany,測試成功
如有廣告廠商願意裝一台Server幫忙發廣告信,如濫發而被退信時是無辜的主機接受被退的信,被認為濫發廣告信也是這台無辜的主機,如用DNSBL的功能有時可能需要注意這點,以免莫名其妙老是擋掉無辜主機的信(這也是我為何要停用reject_rbl_client的原因,常有無辜廠商被擋掉)

測試如下,如有不妥版主請刪除,怕被大量運用
1. client端工具Outlook Express
1.1. 電子郵件地址: realaccount@myfriend.idv.tw
1.2. 回覆地址: realaccount@myfriend.idv.tw
1.3. 內送郵件 POP3: myhome.idv.tw
1.4. 外寄郵件 SMTP:myhome.idv.tw
1.5. 帳戶名稱: RelayTest (實際存在於myhome.idv.tw主機上的帳號,且有密碼保護)
1.6. 我的伺服器需要驗證打勾並選使用與內送郵件伺服器相同的設定
2. 結果
2.1. 寄送的帳號nouser並不存在於mycompany.com.tw主機中
2.2. 信被退回realaccount@myfriend.idv.tw
2.3. 被退回realaccount@myfriend.idv.tw的詳細資料(IP原為真實IP恕換成private IP)

   Return-Path:


   X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on mail.myfriend.idv.tw

   X-Spam-Level: *

   X-Spam-Status: No, score=2.0 required=5.0 tests=BAYES_60,DATE_IN_PAST_12_24,

   HTML_MESSAGE autolearn=no version=3.2.4

   Received: from mail.myhome.idv.tw (mail.myhome.idv.tw [10.6.10.6])

   by mail.myfriend.idv.tw (8.14.2/8.14.2) with ESMTP id n5AEUpnx031935

   for ; Wed, 10 Jun 2009 10:30:51 -0400

   Received: by mail.myhome.idv.tw (Postfix)

   id 232DA1501DB; Wed, 10 Jun 2009 09:41:12 +0800 (CST)

   Date: Wed, 10 Jun 2009 09:41:12 +0800 (CST)

   From: MAILER-DAEMON@mail.myhome.idv.tw (Mail Delivery System)

   Subject: Undelivered Mail Returned to Sender

   To: realacount@myfriend.idv.tw

   Auto-Submitted: auto-replied

   MIME-Version: 1.0

   Content-Type: multipart/report; report-type=delivery-status;

   boundary="C82781501D8.1244598072/mail.myhome.idv.tw"

   Message-Id: <20090610014112.232DA1501DB@mail.myhome.idv.tw>

   X-myfriend_idv_tw-MailScanner-Information: Please contact the ISP for more information

   X-myfriend_idv_tw-MailScanner: Found to be clean

   X-myfriend_idv_tw-MailScanner-SpamScore: ssss

   X-myfriend_idv_tw-MailScanner-From:

   X-Antivirus: avast! (VPS 090609-0, 2009/06/09), Inbound message

   X-Antivirus-Status: Clean

   

   This is a MIME-encapsulated message.

   

   --C82781501D8.1244598072/mail.myhome.idv.tw

   Content-Description: Notification

   Content-Type: text/plain; charset=us-ascii

   

   This is the mail system at host mail.myhome.idv.tw.

   

   I'm sorry to have to inform you that your message could not

   be delivered to one or more recipients. It's attached below.

   

   For further assistance, please send mail to postmaster.

   

   If you do so, please include this problem report. You can

   delete your own text from the attached returned message.

   

   The mail system

   

   : host mail.mycompany.com.tw[10.21.21.21] said:

   550 5.1.1 : Recipient address rejected: User

   unknown in local recipient table (in reply to RCPT TO command)

   

   --

   This message has been scanned for viruses and

   dangerous content by MailScanner, and is

   believed to be clean.

   

   

   --C82781501D8.1244598072/mail.myhome.idv.tw

   Content-Description: Delivery report

   Content-Type: message/delivery-status

   

   Reporting-MTA: dns; mail.myhome.idv.tw

   X-Postfix-Queue-ID: C82781501D8

   X-Postfix-Sender: rfc822; realacount@myfriend.idv.tw

   Arrival-Date: Wed, 10 Jun 2009 09:41:06 +0800 (CST)

   

   Final-Recipient: rfc822; nouser@mail.mycompany.com.tw

   Original-Recipient: rfc822;nouser@mail.mycompany.com.tw

   Action: failed

   Status: 5.1.1

   Remote-MTA: dns; mail.mycompany.com.tw

   Diagnostic-Code: smtp; 550 5.1.1 : Recipient

   address rejected: User unknown in local recipient table

   

   --C82781501D8.1244598072/mail.myhome.idv.tw

   Content-Description: Undelivered Message

   Content-Type: message/rfc822

   

   Received: from b214tony (10-125.96.6.HINET-IP.hinet.net [10.125.96.6])

   by mail.myhome.idv.tw (Postfix) with ESMTPA id C82781501D8

   for ; Wed, 10 Jun 2009 09:41:06 +0800 (CST)

   Message-ID: <7FDC45A851344AA0BCFE8178F0CCA2F3@b214tony>

   Reply-To: "ForRelay@myhome"

   From: "ForRelay@myhome"

   To:

   Subject: relay test from myhome

   Date: Wed, 10 Jun 2009 09:40:16 +0800

   MIME-Version: 1.0

   Content-Type: multipart/alternative;

   boundary="----=_NextPart_000_0062_01C9E9AF.75B7FAF0"

   X-Priority: 3

   X-MSMail-Priority: Normal

   X-Mailer: Microsoft Outlook Express 6.00.2900.5512

   X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579

   

   This is a multi-part message in MIME format.

   

   ------=_NextPart_000_0062_01C9E9AF.75B7FAF0

   Content-Type: text/plain;

   charset="big5"

   Content-Transfer-Encoding: quoted-printable

   

   nouser doese not exist in mail.mycompany.com.tw,to see if this mail will ret=

   urn to myfriend.idv.tw

   nouser=A8=C3=A4=A3=A6s=A6b=A9=F3mail.mycompany.com.tw,=AC=DD=B3Q=B0h=AE=C9=

   =ACO=A7_=B7|=B0h=A8=ECedraton.idv.tw=

   

   ------=_NextPart_000_0062_01C9E9AF.75B7FAF0

   Content-Type: text/html;

   charset="big5"

   Content-Transfer-Encoding: quoted-printable

   

   

   

   

   

   

   

   

 
nouser doese not exist in mail.mycompany.com.tw,to see i=

   f this=20

   mail will return to myfriend.idv.tw


 


   size=3D2>nouser=A8=C3=A4=A3=A6s=A6b=A9=F3mail.mycompany.com.tw,=AC=DD=B3Q=B0=

   h=AE=C9=ACO=A7_=B7|=B0h=A8=ECedraton.idv.tw


   

   ------=_NextPart_000_0062_01C9E9AF.75B7FAF0--



   --C82781501D8.1244598072/mail.myhome.idv.tw--