[資安筆記] 你的網域已經被列入郵件黑名單了嗎?

  • 16038
  • 0
  • 2009-07-24

當一個網域發送的郵件量已經超出正常範圍的時候,想當然...容易被所謂的「國際組織」盯上,進而讓自己的網域進入了「即時黑名單」。即時黑名單殺傷力之強可是馬上可以見到的,以 TigerLin 朋友的公司來說,由於該公司有提供電子報派送的服務,發送郵件的數量除了代管的客戶外同時幾乎以每兩天 10 萬封的數量寄送...

很多朋友都曾問過 TigerLin 一個問題:「我們公司常常發廣告信,那我要怎麼知道網域已經被列入黑名單了呢?」
會這樣問的朋友們...你們就是浪費頻寬的元兇啊!!!啊~不是啦~你們是促進網路新興產業的推手啦~(汗)

當一個網域發送的郵件量已經超出正常範圍的時候,想當然...容易被所謂的「國際組織」盯上,進而讓自己的網域進入了「即時黑名單」。即時黑名單殺傷力之強可是馬上可以見到的,以 TigerLin 朋友的公司來說,由於該公司有提供電子報派送的服務,發送郵件的數量除了代管的客戶外同時幾乎以每兩天 10 萬封的數量寄送...

而被列入即時黑名單黑名單的原因不外乎以下幾項(大項目與部分內文摘錄自 IThome):

  1. Open Relay
    還記得 2000 年左右 SPAM 很風行的年代常有廠商在宣傳「電子郵件行銷光碟」的廣告信嗎?下面還可以選購「SMTP郵件伺服器清單供您寄送」就是這個東西。會變成 OPEN RELAY 大多是因網管人員沒將 SMTP 設定為需要認證或限定某些 IP 才允許 Relay 而造成的人為疏失,TigerLin 架設的環境中無論是 IIS 的 SMTP 或是其他 third-party 的 server 均會限制可使用的 IP 範圍。會這樣限制的原因是因為曾經發生過 Mail Server 的 Security LOG 一天就衝到了 100 MB (十人的小環境,郵件往來也不多),後來查明是有一些異常來源的 IP 一直在 Try 登入的密碼,造成頻寬浪費與 Server 的負載變大。
     
  2. Open Proxy
    代理伺服器(Proxy Server)可透過HTTP連接任意的TCP埠,如果不限制連線來源的TCP埠或服務對象範圍,可能會被濫用,例如連至郵件伺服器的25埠作為中繼站,建立SMTP或Telnet等服務傳送特定指令,即可發出大量垃圾信,甚至攻擊內部網路。 (現在應該已經幾乎沒有這樣的風險了,當然...人為的不再此計算了)
     
  3. 感染病蟲/惡意程式
    早期的病毒會使用系統內的通訊錄以自己的名義寄發病毒附檔,剛好又遇到寬頻起飛的年代讓電腦整天掛在網路上的人越來越多,病毒郵件的傳遞也是很多,是 2000 – 2003 年之間很流行的傳染方式。還記得tt當年收過「富太太病毒」呢...內文大概是說一個寂寞的有錢少婦無聊所以自拍之類的... TigerLin 很多朋友開了之後都被這位「富太太」給感染或刪除了檔案,幸好 TigerLin 的定力夠沒有亂看 (汗)
     
  4. 網路遭入侵盜用
    TigerLin 想這幾乎都是人為因素造成的吧,系統沒設好、安全性沒更新、中了木馬被竊取 SMTP 認證之類的...文中也提到了如果 Wireless AP 的密碼安全性強度不夠(例如說 WEP,破解只是時間長短的問題,但一般不會太長)也會被盜用,那這樣就算限制可 Relay 的 IP 為內部 IP 也沒用啦~
     
  5. 不肖員工的利用
    利用公司資源偷發送自己的 CASE?!別懷疑...真的聽過有這樣的事情...下場當然是被公司...
     
  6. 發送會員電子報或eDM
    這是本文中的例子,發送大量的廣告信,而且還是不請自來的廣告信或會員信!!
     
  7. 鄰近網段
    池魚之殃,TigerLin 在封鎖 DDoS 攻擊時大多也是採用網段封鎖,因為實在是沒辦法一個一個設定了,乾脆整個 Class 都 Block。
     
  8. 先前IP承租者問題
    就像買法拍屋買到兇宅一樣=>誰都不想遇到,但偏偏就是遇到了。原本這個 IP 可能已經被 RBL 或其他的廠商自定 RBL 列入黑名單了,恰巧在遷移 ISP 或是 IDC 的時候又用到這個 IP,只能說趕快去買樂透!因為這機率真的是很低 ^^”。

好吧!!林林總總說了那麼多,那到底怎麼樣才能找到病源呢?既然預防已經來不及了,總得說一下為什麼生病了吧?!這裡要介紹的一個 WEB API 工具就是傳說中的 http://OpenRBL.org

以下摘自微軟的 KB 中 --
http://OpenRBL.org 維護超過 36 個連結轉送封鎖清單的搜詢引擎。
每個清單維護不同的開放式轉送電子郵件伺服器,所以您的伺服器可能會出現在某些,但並非全部的清單中。

 

現在以 Microsoft.com 為例子,看看是否有在黑名單之中,在 IP-Address 欄位中可輸入網域或是IP,輸入完後可按下方兩個按鈕的其中一個,TigerLin 大多都是按上方的「openrbl JS Client」進行查詢 (該站台一進去就會顯示你的 IP 與反解的網域,為了隱藏公司的 IP與網域資訊上了很多馬賽克,請見諒 :P )

OpenRBL_01 

 

接下來就可以看到針對這個網域把它家到白名單或黑名單的 RBL List 有那些了,以 Microsoft.com 為例子可以說是非常好了。不信的話可以拿 Mail Server 的 SPAM Log 中 DNS 黑名單的 IP 反查看看,會出現滿江橘呢 XD~

image


找到病源並了解網域生什麼病之後,就可以對症下藥了,要把黑名單從 RBL 清單移除以及詳細的預防方法可參閱 IThome 的一篇精采撰文,本文主要是要介紹 http://Openrbl.org 這個工具,故針對此項目不多加贅述 ^^
 

參閱資料
當企業上了垃圾郵件黑名單 http://www.ithome.com.tw/itadm/article.php?c=31174
MS KB300580 http://support.microsoft.com/kb/300580/zh-tw

如果覺得這篇文章對你有所幫助,可以透過 Paypal 支持作者唷~