¡Ups! Terminé en la lista negra. Cómo eliminar la dirección IP de la lista negra (BlackList)

Autor: Vittore Zen

Un análisis post mórtem de cómo el comportamiento de algunos usuarios y algunos olvidos del administrador de la red nos arrastraron al agujero negro de las blacklists y cómo los servicios de FlashStart® nos ayudaron a eliminar la dirección IP de la blacklist y vivir felices.

Un día de locura ordinaria

10:00 | primera llamada

El personal de IT es llamado por la oficina de administración: se quejan de que cuando escanean un documento en impresoras multifunción los escaneos (scan to email) no llegan a su bandeja de entrada.

10:05 | segunda llamada

El personal de IT es llamado por el departamento de marketing: se quejan porque durante unos días algunos clientes han señalado que los correos electrónicos importantes enviados a ellos habían sido catalogados como spam y colocados en su carpeta respectiva.

10:15 | los registros del servidor SMTP

El personal de IT comprueba que los escáneres se envían correctamente a los servidores SMTP internos. A continuación, revise el reenvío de correo electrónico correcto y analice los archivos /var/log/mail.log /var/log/mail.info and /var/log/maillog

postfix/smtp[18902]: 0668921EE6E6: to=info@example.com, relay=mxint01.1and1.com[213.21.0.10]:25, delay=1.1, delays=0.12/0.02/0.87/0.13, dsn= 5.0.0, status=bounced (host mxint01.1and1.com[213.21.0.10] said: 550 host is listed in reject.bl.kundenserver.de (in reply to RCPT TO command))
status=bounced (host gmail-smtp-in.l.google.com said: 550-5.7.1 [203.0.113.2] Our system has detected an unusual rate of 550-5.7.1 unsolicited mail originating from your IP address. To protect our 550-5.7.1 users from spam, mail sent from your IP address has been blocked. 550-5.7.1 Please visit 550-5.7.1 https://support.google.com/mail/?p=UnsolicitedIPError to review our 550 5.7.1 Bulk Email Senders Guidelines. p198si10148872itp.132 – gsmtp (in reply to end of DATA command))
status=bounced (host gmail-smtp-in.l.google.com[203.0.113.2] said: 550-5.7.1 [54.94.176.245 19] Our system has detected that this message is 550-5.7.1 likely suspicious due to the very low reputation of the sending 550-5.7.1 domain. To best protect our users from spam, the message has been 550-5.7.1 blocked. Please visit 550 5.7.1 https://support.google.com/mail/answer/188131 for more information. n10si2294606qte.338 – gsmtp (in reply to end of DATA command)
mx.l.google.com[74.125.204.27] said: 550-5.7.1 [203.0.113.2 2] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1 for more information. b18si150966pgn.296 – gsmtp (in reply to end of DATA command))

 

En los registros de nuestro servidor SMTP interno en el que los escaneos de la multifunción se apoyan para enviar, hay varias líneas con error SMTP 421 y otras con error SMTP 550.
Recuerde que los errores 421 indican bloqueos temporales y el servidor de correo intentará enviar de nuevo los correos electrónicos.

Ejemplo de un error SMTP 421:

421 4.7.0 [167.89.55.59 15] Our system has detected that this message is suspicious
due to the nature of the content and/or the links within. To best protect our users from spam,
the message has been blocked. Please visit https://support.google.com/mail/answer/188131
for more information. u22si16671234pfl.244 – gsmtp
550 errors are permanent failures. You will have to take some action before Gmail removes your server IP address from their blacklist.

 

Los errores SMTP 550 indican fallos permanentes. Por lo tanto, será necesario tomar algunas medidas antes de que, por ejemplo, Gmail quite la dirección IP del servidor de correo de su blacklist.

Ejemplo de un error SMTP 550:

SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.71.26]:
550-5.7.1 [194.XXX.XXX.181] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. k8si8849879lbl.62

 

Estos errores comienzan a apuntarnos a un problema: los servidores de gmail no están aceptando nuestro tráfico porque estamos en una blacklist.

10:30 | blacklisted

Para comprobar si estamos en una lista negra, interrogamos la url https://mxtoolbox.com/blacklists.aspx e indicamos la dirección IP con la que nuestro servidor SMTP interno sale a Internet.

¡Ups! Estamos en la lista negra. Ahora las preguntas son dos:

» ¿Por qué estamos en la lista negra?
» ¿La única solución para resolver este problema es esperar?

10:35 | el firewall de Mikrotik

Para responder a la primera pregunta, el equipo de IT empieza a investigar más a fondo. Se parte analizando el firewall perimetral, un aparato Mikrotik con la última versión de Routeros a bordo. Se observa un tráfico extrañamente elevado a la salida de la red. Usando el comando /tool torch los datos nos dicen que el tráfico saliente deriva del servicio DNS: nuestro router Mikrotik está resolviendo nombres no sólo para nuestra red interna sino también para cualquier cliente presente en internet: Cielos, somos un DNS open resolver y no lo sabíamos (véase el artículo «Evite los DNS open resolver en los router Mikrotik (y otros)«) . Cerramos todas las puertas DNS que habíamos olvidado abiertas.

Es probable que nuestra inclusión en una blacklist sea el resultado de este papel que hemos asumido en la red.

11:00 | el usuario

El antivirus informa que en la caché de navegación de un usuario hay archivos relacionados con una actividad de phishing. El administrador de la red llama al usuario, quien confirma que hizo clic en un enlace que estaba indicado en un correo recibido, se abrió una página web con un enlace en el que hizo clic y luego apareció un aviso del antivirus que no recuerda, En cualquier caso, ha confirmado todo lo que ha propuesto. Esto no era necesario. ¡Qué día! Los problemas señalados a las 10:00 aún no están resueltos, los correos siguen sin llegar.

13:00 | el consejo

El colega ha oído hablar de FlashStart® y de los servicios relacionados con el filtrado de Internet y los DNS. Objeción: pero FlashStart® es sólo un DNS resolver, ¿qué tiene que ver con las blacklists?

13:15 | FlashStart®

Visite el sitio de FlashStart® y active una versión demo en su red (activar una prueba gratis). FlashStart es uno de los filtros en la nube más efectivos y simples para proteger contra malware y contenido no deseado, distribuido globalmente en más de 120 países y desarrollado íntegramente en Italia.

Después de unos minutos de configuración el sitio de phishing ya no es accesible desde las ubicaciones de los usuarios: si hubiera estado antes el usuario no habría tenido la oportunidad de cometer errores haciendo clics atrevidos. Empiezas a ver la luz…

14:00 | la segunda dirección IP

En el sitio de flashstart (guia) se ha leído la documentación relativa a la eliminación de las blacklists. El equipo de IT no tiene que hacer nada.
Por el momento se modifica la configuración del firewall de Mikrotik añadiendo una regla de src-nat para sacar el servidor SMTP interno con una IP distinta de la del servidor público de la lista negra:

/ip firewall nat add action=src-nat chain=srcnat comment=»Internal SMTP to 2nd IP» out-interface=ether1-wan src-address=10.10.250.15 to-addresses=2.28.245.216

 

El correo recupera su funcionamiento normal.

El día después

9:00

Para comprobar si todavía estamos en una lista negra, interrogamos la url https://mxtoolbox.com/blacklists.aspx e indicamos la dirección IP con la que nuestro servidor SMTP interno salía en Internet.

¡Evviva! Flashstart ha hecho bien su trabajo: ya no estamos en las listas negras. Ahora el problema está resuelto definitivamente.

 

 


> Para contactarnos haga clic aquí
> Para una prueba gratuita haga clic aquí
> Para descubrir los precios haga clic aquí