Uups! Wir stehen auf einer E-Mail Blacklist!?
AUTOR: Vittore Zen
Ein Rückblick darauf, wie Benutzerverhalten und eine gewisse Vergesslichkeit eines Netzwerkadministrators uns in das schwarze Loch des Blacklisting gezogen hat und wie uns FlashStart®-Dienste dabei geholfen haben, die IP-Adresse von der Blacklist zu entfernen.
Tagebuch eines Wahnsinns
10:00 | der erste Telefonanruf
Wir in IT werden von der Zentrale angerufen: Sie beschweren sich darüber, dass beim Scannen eines Dokuments mit dem Multifunktionsdrucker die Scans (Scan-to-E-Mail) nicht in ihrer Mailbox ankommen.
10:05 | der zweite Anruf
Wir werden von der Marketing-Abteilung angerufen: Sie beschweren sich, weil einige Kunden seit einigen Tagen darauf hingewiesen haben, dass wichtige E-Mails, die an sie geschickt wurden, als Spam katalogisiert oder gar nicht ankommen!
10:15 | die SMTP-Server-Protokolle
Die Kollegen aus der IT überprüfen, ob die Scans korrekt an die internen SMTP-Server gesendet werden. Stimmt die korrekte Weiterleitung der E-Mails und was sagt die Analyse der Dateien: /var/log/mail.log /var/log/mail.info und /var/log/maillog
In den Protokollen unseres internen SMTP-Servers, an den die Scans vom Multifunktionssystem gesendet werden, gibt es mehrere Zeilen mit SMTP 421-Fehlern und andere mit SMTP 550-Fehlern.
Der 421-Fehler weist auf vorübergehende Blockierungen hin und der Mailserver versucht, die E-Mails erneut zu versenden.
Beispiel für einen SMTP 421-Fehler:
421 4.7.0 [167.89.55.59 15] Our system has detected that this message is suspicious
due to the nature of the content and/or the links within. To best protect our users from spam,
the message has been blocked. Please visit https://support.google.com/mail/answer/188131
for more information. u22si16671234pfl.244 – gsmtp
550 errors are permanent failures. You will have to take some action before Gmail removes your server IP address from their blacklist.
SMTP 550-Fehler weisen auf dauerhafte Fehler hin. Wir müssen etwas unternehmen, damit z. B. Gmail die IP-Adresse des Mailservers von seiner schwarzen Liste entfernt.
Beispiel für einen SMTP 550-Fehler:
SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.71.26]:
550-5.7.1 [194.XXX.XXX.181] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. k8si8849879lbl.62
Dieses Fehlerprotokoll deutet auf ein echtes Problem hin: Die Google Mail-Server nehmen unseren Datenverkehr nicht an, weil wir auf einer schwarzen Liste stehen!
10:30 | Wir sind geblacklistet
Um zu prüfen, ob wir auf einer schwarzen Liste stehen, fragen wir die URL https://mxtoolbox.com/blacklists.aspx ab und geben die IP-Adresse an, mit der unser SMTP-Server ins Internet verbindet.
MIST! Wir befinden uns auf der schwarzen Liste. Dazu gibt es zwei Fragen:
» Warum stehen wir auf der schwarzen Liste?
» Ist die einzige Lösung für dieses Problem abzuwarten?
10:35 | Analyse per Perimeter-Firewall
Um die erste Frage zu beantworten, beginnen die IT-Kollegen mit einer tiefer gehenden Untersuchung:
Zuerst mit der Analyse der Perimeter-Firewall, eines Mikrotik-Geräts mit der neuesten Version von RouterOS an Bord. Es gibt ungewöhnlich viel Datenverkehr, der durch das Netzwerk geht.
Nach der Befehlseingabe /tool torch zeigen die Daten, dass der ausgehende Verkehr vom DNS-Dienst kommt: Unser Mikrotik-Router löst Namen nicht nur für unser internes Netzwerk auf, sondern auch für jeden Client im Internet: Verdammt, wir sind ein offener DNS-Resolver und wir wussten es nicht. Wir schließen alle DNS-Ports, die wir vergessen hatten…
Die Tatsache, dass wir auf mindestens einer schwarzen Liste stehen, rührt von der Rolle her, die wir im Netz eingenommen haben.
11:00 | Jetzt auch noch unvorsichtige Nutzer
Das Antivirusprogramm meldet, dass sich im Browser-Cache eines Benutzers Dateien befinden, die auf Phishing-Aktivitäten zurückzuführen sind. Der Kollege Netzwerkadministrator ruft den Benutzer an und dieser bestätigt, dass er auf einen Link geklickt hat, der in einer erhaltenen E-Mail angegeben war. Es war ein bösartiger Link und die Warnung wurde einfach “übersehen”. Ein vermeidbarer Fehler.
Was für ein Tag bisher, dabei sind die um 10 Uhr gemeldeten Probleme immer noch nicht behoben, die E-Mails kommen immer noch nicht an.
13:00 | Lösungsvorschläge
Ein Kollege hat von FlashStart® und seinen Diensten im Zusammenhang mit Internet-Filterung und DNS gehört. Aber ist FlashStart® nicht einfach nur ein DNS-Resolver, was hat das mit Blacklists zu tun?
13:15 | Wir testen FlashStart®
Wir stellen eine Verbindung zur FlashStart®-Website her und aktivieren eine kostenlose Demoversion für unser Netzwerk. Wir stellen fest, FlashStart ist ein einfach zu bedienender und effizienter Internet Malware- und Content-Filter, der in mehr als 120 Ländern vertrieben wird.
Nach wenigen Minuten der Konfiguration ist die Phishing-Site nicht mehr von den Arbeitsplätzen der Benutzer aus erreichbar: Hätten wir dies nur schon vorher genutzt, dann hätte der Benutzer keine Möglichkeit gehabt, durch riskante Klicks Fehler zu machen.
Wir beginnen, das Licht am Ende des Tunnels zu sehen…
14:00 | Die zweite IP-Adresse
Auf der FlashStart®-Seite (Leitfaden) haben wir die Dokumentation zur Entfernung aus der Blacklist gelesen. Wir von der IT müssen aber gar nichts aktiv tun, innerhalb weniger Stunden wird das FlashStart®-System den jeweiligen Arbeitsplatz für uns erledigen. Wie geil!
Zunächst ändert FlashStart die Konfiguration der Firewall, indem eine Regel src-nat hinzufügt wird, um den internen SMTP-Server mit einer anderen IP als der öffentlichen IP zu belegen und so die Blacklist herauszulassen:
Die E-Mails funktionieren wieder! Grossartig!
Der Tag danach
9:00 | Alles läuft
Um zu prüfen, ob wir noch auf einer schwarzen Liste stehen, fragen wir die URL https://mxtoolbox.com/blacklists.aspx ab und geben die IP-Adresse an, mit der unser interner SMTP-Server ins Internet gegangen ist.
Hurra! FlashStart® hat seine Arbeit gut gemacht! Wir sind nicht mehr auf der Blacklist. Jetzt ist das Problem endgültig gelöst.
> Flashstart ist ein Tool, um sich sicher online im Netz zu bewegen, sowohl vor Ort als auch aus der Ferne während des “Smart-Working”.
Fordern Sie ein Angebot an oder starten Sie sofort Ihre kostenlose Inizia subito la tua Testversion
Sie können den FlashStart® Cloud-Schutz auf jeder Art von Router und Firewall aktivieren, um Desktop- und Mobilgeräte sowie IoT-Geräte in lokalen Netzwerken zuverlässig zu schützen.