none
Mi servidor exchange ha sido registro como spam en la CBL RRS feed

  • Pregunta

  • Hola amigos, tengo un problema, cada semana mi direccion IP cae en la lista negra de CBL, que puedo hacer, soy un poco nuevo en estos temas...
    alguna pista para poder solucionar este problema, muchos me dicen que mi relay esta habierto..... alguna sugerencia....
    Les estare muy agradecido.....

    saludos

    Fabricio Lopez
    viernes, 14 de agosto de 2009 14:35

Todas las respuestas

  • Hola que tal compañero,

    Primero tenemos que revisar por que motivo te estan listando por envio masivo de correo o por algun otro factor por ejemplo poor reputacion esta informacion la pudes revisar en la pagina donde solicitas el desbloque de tu direccion IP

    Ejemplos Reputation Score

    Good = Little or no threat activity has been observed from your IP address or domain. Your email or Web traffic is not likely to be filtered or blocked*.

    Neutral = Your IP address or domain is within acceptable parameters. However, your email or Web traffic may still be filtered or blocked*.

    Poor = A problematic level of threat activity has been observed from your IP address or domain. Your email or Web traffic is likely to be filtered or blocked*.

    Tambien tendremos que revisar muy bien que tu servidor o equipos cliente no tengan virus o malware que este enviado correo de manera masiva hacia internet ya que esto puede repercutir en que se te bloquee la IP como envio masivo


    tambien te dejo el siguiente link donde pudes revisar las opciones de tu servidor para validar que no sea open relay o corregir los parametros necesarios

    Verificando opciones de Relay en Exchange 2000 y 2003

    http://msmvps.com/blogs/exchangebloglatino/archive/2007/05/24/verificando-opciones-de-relay-en-exchange-2000-y-2003.aspx



    Saludos
    Ruben Rosales Matamoros MCSE + M / MCTS
    viernes, 14 de agosto de 2009 20:32
  • Hola Ruben que tal, mira he realizado los ajuste que me dijiste incluso comprobe las opciones que me enviaste en esta URL
    http://msmvps.com/blogs/exchangebloglatino/archive/2007/05/24/verificando-opciones-de-relay-en-exchange-2000-y-2003.aspx......

    y estuve enviando y recibiendo correos de todos los dominion incluso el de hotmail,,,,, pero desde el miercoles hoy otra vez no puedo recibir correo de hotmail.

    investigue en el CBL y me sale esto:

    IP Address 190.12.86.98 is currently listed in the CBL.

    It was detected at 2009-08-19 13:00 GMT (+/- 30 minutes), approximately 1 days, 10 hours, 30 minutes ago.

    There will usually be a link to self-remove this IP from the CBL at the end of this page, but read the following text first

    It has been relisted following a previous removal at 2009-08-14 14:03 GMT

    ATTENTION: At the time of detection, this IP was infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating or facilitating a botnet sending spam or spreading virus/spam trojans.

    ATTENTION: If you simply repeatedly remove this IP address from the CBL without correcting the problem, the CBL WILL eventually stop letting you delist it and you will have to contact us directly.

    We do not yet have a name for this spamBOT

    You MUST patch your system and then fix/remove the trojan. Do this before delisting, or you're most likely to be listed again almost immediately.

    If this IP is a NAT firewall/gateway, you MUST configure the NAT to prevent outbound port 25 connections to the Internet except from your real mail servers. Please see our recommendations on NAT firewalls

    The Microsoft MSRT (Malicious Software Removal Tool) stands a good chance of being able to find/remove the malicious software. If you can find which machine[s] the malware is on.

    Request delisting of 190.12.86.98.

    Y TUVE QUE REALIZAR EL REMOVIDO DE LA CBL, Y ME DICEN ESTO:

    CBL Removal Requested

    Removal of the IP address:

    190.12.86.98

    from the CBL is now pending. This request should take less than an hour to complete, however it may take several more hours before servers that use the CBL will start accepting your mail. Please be patient.

    If you found and removed an open proxy, it's likely that you are listed on other lists besides the CBL.

     

    SUPONGO QUE EN UNOS MOMENTOS PODRE ENVIAR Y RECIBIR CORREOS DE HOTMAIL ASI COMO DE OTROS DOMINIOS, PERO ESTO QUIERE DECIR QUE ESTUVE EN UNA LISTA NEGRA.

    LA PREGUNTA ES QUE MAS PUEDO HACER PARA NO VOLVER A CAER EN UNA LISTA NEGRA, EN REALIDAD TENGO ALGO DE 200 PC'S A MI CARGO Y DE HECHO QUE UNA DE ELLAS TIENE VIRUS.

    PERO COMO HACER PARA ASEGURAR MEJOR MI SERVIDOR EXCHANGE, A PARTE DE QUE TENDRE QUE REVISAR PC POR PC PARA SABER CUAL DE TODAS ESTA CON VIRUS.

    ALGUNA OTRA SUGERENCIA, ESTARE INFINITAMENTE AGRADECIDO.

    SALUDOS COORDIALES.

    FABRICIO LOPEZ

    jueves, 20 de agosto de 2009 23:22
  • AHH ME OLVIDABA TAMBIEN HICE ESTE TEST:


    Mail relay testing

    Connecting to 190.12.86.98 for anonymous test ...

    <<< 220 sbcorreo.sbdomain.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Thu, 20 Aug 2009 18:11:29 -0500 
    >>> HELO www.abuse.net
    <<< 250 sbcorreo.sbdomain.local Hello [208.31.42.77]

    Relay test 1

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@abuse.net>
    <<< 250 2.1.0 spamtest@abuse.net....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 2

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest>
    <<< 250 2.1.0 spamtest@sanbartolome.gob.pe....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 3

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<>
    <<< 250 2.1.0 <>....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 4

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 5

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@>
    <<< 501 5.5.4 Invalid Address

    Relay test 6

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@[190.12.86.98]>
    <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@[190.12.86.98]

    Relay test 7

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@>
    <<< 501 5.5.4 Invalid Address

    Relay test 8

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<"securitytest@abuse.net">
    <<< 550 5.1.1 User unknown

    Relay test 9

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>

    ALGUNA IDEA SI TENGO ALGO MAL CONFIGURADO.

    SALUDOS%3
    jueves, 20 de agosto de 2009 23:26
  • AHH ME OLVIDABA TAMBIEN HICE ESTE TEST:


    Mail relay testing

    Connecting to 190.12.86.98 for anonymous test ...

    <<< 220 sbcorreo.sbdomain.local Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Thu, 20 Aug 2009 18:11:29 -0500 
    >>> HELO www.abuse.net
    <<< 250 sbcorreo.sbdomain.local Hello [208.31.42.77]

    Relay test 1

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@abuse.net>
    <<< 250 2.1.0 spamtest@abuse.net....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 2

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest>
    <<< 250 2.1.0 spamtest@sanbartolome.gob.pe....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 3

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<>
    <<< 250 2.1.0 <>....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 4

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest@abuse.net>
    <<< 550 5.7.1 Unable to relay for securitytest@abuse.net

    Relay test 5

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@>
    <<< 501 5.5.4 Invalid Address

    Relay test 6

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@[190.12.86.98]>
    <<< 550 5.7.1 Unable to relay for securitytest%abuse.net@[190.12.86.98]

    Relay test 7

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<securitytest%abuse.net@>
    <<< 501 5.5.4 Invalid Address

    Relay test 8

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>
    <<< 250 2.1.0 spamtest@[190.12.86.98]....Sender OK
    >>> RCPT TO:<"securitytest@abuse.net">
    <<< 550 5.1.1 User unknown

    Relay test 9

    >>> RSET
    <<< 250 2.0.0 Resetting
    >>> MAIL FROM:<spamtest@[190.12.86.98]>

    ALGUNA IDEA SI TENGO ALGO MAL CONFIGURADO.

    SALUDOS

    FABRICIO LOPEZ
    jueves, 20 de agosto de 2009 23:26
  • Hola que tal fabricio,

    Bueno en realidad si ya validaste que no tienes habilitado el open relay en tu servidor ya es un punto a nuestro favor ya que podemos descartar esa posibilidad, ahora como tu bien lo comentas tenemos que cuidar mucho las pc de nuestros usuarios que tienen acceso a internet revisarlas con un buen antivirus para que estas no tengan algun tipo de malware que este enviando correo masivo, tambien las actulizaciones del sistema operativo.
    ahora tambien te recomendaria monitorear y habilitar los logs del exchange por algunos dias y estar al pendiente de como se comporta el trafico y saber que cantidades de correo estas enviando ya sea por hora o dia esto lo puedes revisar en el siguiente link.

    http://anewmessagehasarrived.blogspot.com/2008/03/exchange-2003-statistics-with-logparser.html o herramienta de terceros con costo http://www.quest.com/messagestats/

    algunos tips

    http://www.itpros.com.ar/blog/que-opciones-habilitar-para-hacer-un-troublshooting-de-nuestro-exchange

    http://www.hellogoogle.com/como_evitar_filtros_anti_spam/

    Tambien puedes revisar el siguiente post para instalar algun software de terceros o herramienta anti-spam esto en base a las necesidades

    Exchange 2003 SP2 to Provide Anti-Spam Enhancements

    http://www.msexchange.org/ExchangeNews/July-2005-Exchange-2003-SP2-Anti-Spam.html

    Parece un trabajo pesado, pero cuando menos lo imagines ya tendras todo listo y funcionando correctamente

    Estoy seguro que podras controlar este pequeño detalle

    Saludos,


    Ruben Rosales Matamoros MCSE + M / MCTS
    viernes, 21 de agosto de 2009 21:34