none
IP Pubblico in Blacklist per Spam Mail RRS feed

  • Domanda

  • Ciao a tutti

    Chiedo il vostro aiuto per capire una cosa.

    Ieri è successo che non mi era più possibile inviare posta tramite smtp aruba e client Outlook con errore:"Connessione rifiutata da "ip pubblico" per maggiori informazioni consultare https://www.spamhaus.org/query/ip/"ip pubblico" 

    Naturalmente utilizzando altra connettività tutto funziona correttamente e per quanto riguarda la navigazione internet non ci sono problemi.

    Avendo altri indirizzi Ip pubblici l'ho cambiato e bypassato il problema; ma vorrei capire come mai è successa questa cosa?

    Ho fatto controllo virus\maleware su server (ws2012r2) e sui client in azienda e non ho trovato nulla di rilevante.

    Qualcuno può consigliarmi cosa posso fare?

    Grazie mille per il supporto come al solito.

    giovedì 3 marzo 2016 16:05

Tutte le risposte

  • normalmente i server smtp riceventi posso attribuire, se vi è un invio di mail massivo da un indirizzo ip, una classificazione negativa al server smtp che pubblichi. questa classificazione negativa viene raccolta da servizi come spamhaus.org e il tuo ip viene messo in blacklist. gli altri server smtp che riconoscono l'autorità di spamhaus.org, si fidano del giudizio dato e bloccano le mail provenienti dal tuo ip. lo sblocco avviene inviando una richiesta scritta a quelli che secondo spamhaus hanno attribuito il giudizio negativo al server smtp dietro il tuo ip.

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    giovedì 3 marzo 2016 17:11
    Moderatore
  • Quindi, se ho ben capito(correggimi se sbaglio).. ammesso e non concesso che ci fosse stato un invio massivo di mail(cosa che in azienda non è stato fatto) è il provider di posta(Aruba in questo caso) che attribuisce all'ip pubblico una classificazione negativa.

    Per la risoluzione: devo quindi scrivere prima a spamhaus e chiedere chi ha attribuito la classificazione negativa?e di conseguenza scrivere a chi loro mi indicano?

    Per la prevenzione: per evitare che possa ricapitare cosa posso fare?oltre naturalmente ad accertarmi che non ci siano virus\malware su client\server?

    (sto già prendendo in considerazione di cambiare provider di posta dato che aruba ha già creato un pò di disservizi) 

    Grazie mille per la risposta

    giovedì 3 marzo 2016 18:54
  • Ciao,

    per delistarti da spamhouse:

    https://www.spamhaus.org/sbl/delistingprocedure/

    e

    https://www.spamhaus.org/lookup/

    Aruba non attribuisce gradi di affidabilitá agli IP, interroga database come quello di spamhouse per verificare.

    Di solito un invio massivo di email parte da un client con malware.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 3 marzo 2016 19:47
  • Se introduci il tuo ip https://www.spamhaus.org/lookup/ (meglio il tuo link) normalmente viene indicato quando e il motivo del blacklisting,

    Verifica bene il motivo e ricontrolla accuratamente i computer della tua LAN. potresti "bruciarti" altri ip pubblici... un consiglio blocca la porta 25  a tutti i tuoi client.

    https://www.spamhaus.org/faq/section/Spamhaus%20XBL#37


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    giovedì 3 marzo 2016 20:48
  • andando su https://www.spamhaus.org/lookup/ mi dice che : "ip pubblico is listed in SBL

    sto rifacendo ulteriore scansione sui pc in rete per eventuali virus malware(prima avevo fatto scansione con essenstial ora ho scaricato kasperky e stinger).

    Bloccare la porta 25 sui client cosa comporta?

    venerdì 4 marzo 2016 11:28
  • andando su https://www.spamhaus.org/lookup/ mi dice che : "ip pubblico is listed in SBL

    sto rifacendo ulteriore scansione sui pc in rete per eventuali virus malware(prima avevo fatto scansione con essenstial ora ho scaricato kasperky e stinger).

    Bloccare la porta 25 sui client cosa comporta?

    la porta 25 è la porta su cui sta in ascolto il server smtp, non quella che usa il client.

    se invece blocchi la 25 come porta di destinazione impedisci a tutti di inviare qualsiasi mail

    comunque vedi qui

    https://www.spamhaus.org/sbl/policy/

    e qui

    https://www.spamhaus.org/sbl/delistingprocedure/


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    venerdì 4 marzo 2016 11:37
    Moderatore
  • Dato che noi non usiamo la porta 25 ma l'smtps di aruba su porta 465 ssl potrei anche bloccare la porta 25 per le connessioni in uscita sul firewall giusto?
    venerdì 4 marzo 2016 12:03
  • giusto!

    ma tu hai verificato che dalla tua rete ci sono pacchetti trasmessi ad un server remoto porta 25 oppure è una tua ipotesi ?


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    venerdì 4 marzo 2016 12:41
    Moderatore
  • No, il discorso di chiudere la porta 25 è venuto da un vostro messaggio.

    Non ho verificato e a dirla tutta se qualcuno mi spiega se c'è uno strumento per individuare da quale ip interno alla mia rete proviene eventuale traffico spam mi farebbe un favore... scusate ma non sono molto esperto in security.

    venerdì 4 marzo 2016 13:20
  • prima di prendere una strada sbagliata riesci a fare un po' di analisi drill down su spamhaus.org per vedere qual'è la causa precisa del blocco ?

    quando ti dice "ip pubblico is listed in SBL" riesci a cliccare da qualche parte per avere qualche dettaglio maggiore ?


    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    venerdì 4 marzo 2016 13:29
    Moderatore
  • mi dà la possibilità di cliccare su questo link https://www.spamhaus.org/sbl/query/SBLCSS ma non mi sembra sia molto esplicativo

    Comunque ho fatto controllo antivirus\antimalware su tutti i pc e ora sto passando stinger sui server..ma fin'ora nulla di nulla...

    venerdì 4 marzo 2016 13:33
  • Qui trovi come si finisce in SBL https://www.spamhaus.org/sbl/policy/

    "IP addresses are listed on the SBL because they appear to Spamhaus to be under the control of, or made available for the use of, senders of Unsolicited Bulk Email ("spammers"). The SBL database will normally include IPs identified to Spamhaus's best ability as likely direct spam sources, spammer hosting/DNS, spam gangs and spam support services."

    Indipendentemente dalla tua configurazione (che non ho capito) è buona norma che il solo server di mail possa inviare mail,  io in ogni azienda che gestisco, chiudo tassativamente la porta 25 per tutti i clients, al fine di impedire che pc infetti spediscano mail e mi facciano entrare in blacklis il mio indirizzo pubblico.

    Se ho più indirizzi pubblici, uno viene dedicato al mail server o a un pc deputao all'invio mail e un altro viene utilizzato dai client per la navigazione al fine di evitare il blacklisting del mail server (l'altro ip)  e porta 25 sempre ben chiusa!

    Ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere





    venerdì 4 marzo 2016 19:21
  • Non ho un mail server.

    Ogni client ha la mail di aruba configurata su imap e smtp di aruba(su outlook)

    Qualcuno mi suggerisce come monitorare il traffico sulla porta 25 che fanno gli ip dei client interni?


    venerdì 4 marzo 2016 19:26
  • Qualcuno mi suggerisce come monitorare il traffico sulla porta 25 che fanno gli ip dei client interni?


    con un firewall perimetrale ?

    Edoardo Benussi
    Microsoft MVP - Enterprise Mobility
    edo[at]mvps[dot]org


    venerdì 4 marzo 2016 19:35
    Moderatore
  • intendevo a livello software...per svariati motivi ora non posso proporre l'acquisto di un firewall da mettere sul perimetro.
    venerdì 4 marzo 2016 20:31
  • intendevo a livello software...per svariati motivi ora non posso proporre l'acquisto di un firewall da mettere sul perimetro.

    Una soluzione a costo quasi nullo, può essere la seguente:

    1. un vecchio computer desktop
    2. una scheda di rete aggiuntiva a quella del pc (10/20 euro)
    3. Distribuzione linux ubuntu o debian / windows 7
    4. Creare un bridge fra le due nic bridge linux       bridge win
    5. Con wireshark o netmon (solo windowshttps://www.microsoft.com/en-us/download/details.aspx?id=4865)
    6. Una volta che avrai  interposto il pc fra i clients e il gateway potrai iniziare a "guardare"

    ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    venerdì 4 marzo 2016 21:24