Ops! Sono finito in Blacklist. Come rimuovere l’indirizzo IP dalla lista nera.

Autore: Vittore Zen

Una analisi post-mortem di come il comportamento di alcuni utenti e alcune dimenticanze dell’amministratore di rete ci hanno trascinato dentro il buco nero delle black list e come i servizi di FlashStart® ci hanno aiutato a rimuovere l’indirizzo IP dalla lista nera e vivere felici.

Una giornata di ordinaria follia

10:00 | la telefonata

Lo staff IT viene chiamato dall’ufficio amministrativo: si lamentano perchè quando scansionano un documento nelle stampanti multifunzione le scansioni (scan to email) non arrivano nella loro casella email.

10:05 | la seconda telefonata

Lo staff IT viene chiamato dall’ufficio marketing: si lamentano perchè da alcuni giorno alcuni clienti hanno evidenziato che email importanti a loro inviate erano state catalogate come Spam e messe nella rispettiva cartella.

10:15 | i log del server smtp

Lo staff IT controlla che le scansioni vengano inviate correttamente ai server smtp interni. Successivamente controlla il corretto inoltro delle email e analizza i file /var/log/mail.log /var/log/mail.info and /var/log/maillog

postfix/smtp[18902]: 0668921EE6E6: to=info@example.com, relay=mxint01.1and1.com[213.21.0.10]:25, delay=1.1, delays=0.12/0.02/0.87/0.13, dsn= 5.0.0, status=bounced (host mxint01.1and1.com[213.21.0.10] said: 550 host is listed in reject.bl.kundenserver.de (in reply to RCPT TO command))

status=bounced (host gmail-smtp-in.l.google.com said: 550-5.7.1 [203.0.113.2] Our system has detected an unusual rate of 550-5.7.1 unsolicited mail originating from your IP address. To protect our 550-5.7.1 users from spam, mail sent from your IP address has been blocked. 550-5.7.1 Please visit 550-5.7.1 https://support.google.com/mail/?p=UnsolicitedIPError to review our 550 5.7.1 Bulk Email Senders Guidelines. p198si10148872itp.132 – gsmtp (in reply to end of DATA command))

status=bounced (host gmail-smtp-in.l.google.com[203.0.113.2] said: 550-5.7.1 [54.94.176.245 19] Our system has detected that this message is 550-5.7.1 likely suspicious due to the very low reputation of the sending 550-5.7.1 domain. To best protect our users from spam, the message has been 550-5.7.1 blocked. Please visit 550 5.7.1 https://support.google.com/mail/answer/188131 for more information. n10si2294606qte.338 – gsmtp (in reply to end of DATA command)

mx.l.google.com[74.125.204.27] said: 550-5.7.1 [203.0.113.2 2] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1 for more information. b18si150966pgn.296 – gsmtp (in reply to end of DATA command))

Nei log del nostro server SMTP interno su cui le scansioni dalla multifunzioni si appoggiano per l’invio, ci sono diverse righe con errore SMTP 421 e altre con errore SMTP 550. Ricordiamo che gli errori 421 indicano blocchi temporanei e il server di posta tenterà di inviare nuovamente le e-mail.

Esempio di un errore SMTP 421:

421 4.7.0 [167.89.55.59 15] Our system has detected that this message is suspicious
due to the nature of the content and/or the links within. To best protect our users from spam,
the message has been blocked. Please visit https://support.google.com/mail/answer/188131
for more information. u22si16671234pfl.244 – gsmtp
550 errors are permanent failures. You will have to take some action before Gmail removes your server IP address from their blacklist.

Gli errori SMTP 550 indicano fallimenti permanenti. Sarà quindi necessario intraprendere alcune azioni prima che, ad esempio, Gmail rimuova l’indirizzo IP del server di posta dalla loro lista nera.

Esempio di un errore SMTP 550:

SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.71.26]:
550-5.7.1 [194.XXX.XXX.181] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. k8si8849879lbl.62

Questi errori iniziano ad indirizzarci verso un problema: i server gmail non stanno accettando il nostro traffico perché siamo in una black list.

10:30 | blacklisted

Per verificare se siamo in una blacklist interroghiamo l’url https://mxtoolbox.com/blacklists.aspx ed indichiamo l’indirizzo ip con cui il nostro server SMTP interno esce su internet.

Ops! Siamo nella blacklist. Ora le domande sono due:

» Perché siamo nella blacklist?
» Unica soluzione per risolvere questo problema è aspettare?

10:35 | il firewall di Mikrotik

Per dare una risposta alla prima domanda lo staff IT inizia ad indagare più in profondità. Si parte analizzando il firewall perimetrale, un apparato Mikrotik con a bordo l’ultima versione di RouterOS. Si nota un traffico stranamente elevato in uscita dalla rete. Usando il comando /tool torch i dati ci dicono che il traffico uscente deriva dal servizio DNS: il nostro router Mikrotik sta risolvendo nomi non solo per la nostra rete interna ma anche per qualsiasi client presente in internet: Accidenti, siamo un DNS open resolver e non lo sapevamo (vedi articolo “Evitare i DNS open resolver su Mikrotik”) . Chiudiamo tutte le porte DNS che ci eravamo dimenticate aperte.

E’ probabile che il nostro essere inclusi in una black list derivi da questo ruolo che abbiamo assunto in rete.

11:00 | l’utente

L’antivirus segnala che nella cache di navigazione di un utente ci sono dei file riconducibili ad una attività di phishing. L’amministratore di rete chiama l’utente, il quale conferma che ha fatto click su un link che era indicato su una email ricevuta, si è aperta una pagina internet con un link su cui ha fatto click e poi è comparso un avviso dell’antivirus che non ricorda, in ogni caso ha confermato tutto quanto proposto. Non ci voleva anche questa. Che giornata! I problemi segnalati alle 10 non sono ancora risolti, le email continuano a non arrivare.

13:00 | il consiglio

Il collega ha sentito parlare di FlashStart® e dei sui servizi legati al filtraggio internet e ai DNS. Obiezione: ma FlashStart® è solo un DNS resolver, cosa c’entra con le blacklist?

13:15 | FlashStart®

Ci si collega al sito di FlashStart® e si attiva una versione demo sulla propria rete (attiva una free trial). FlashStart è uno dei più efficaci e semplici filtri in Cloud per la protezione da malware e contenuti indesiderati, distribuito globalmente in oltre 120 Paesi e sviluppato interamente in Italia.

Dopo pochi minuti di configurazione il sito di phishing non è più raggiungibile dalle postazioni degli utenti: se ci fosse stato prima l’utente non avrebbe avuto modo di commettere errori facendo click azzardati. Si inizia a vedere la luce…

14:00 | il secondo indirizzo IP

Nel sito di FlashStart® (guida) si è letta la documentazione relativa alla rimozione dalle blacklist. Lo staff IT non deve fare nulla, entro qualche ora il sistema di FlashStart® farà il lavoro per noi.

Per il momento si modifica la configurazione del firewall Mikrotik aggiungendo una regola di src-nat per far uscire il server SMTP interno con un IP diverso da quello pubblico presente nella blacklist:

/ip firewall nat add action=src-nat chain=srcnat comment=”Internal SMTP to 2nd IP” out-interface=ether1-wan src-address=10.10.250.15 to-addresses=2.28.245.216

La posta riprende il suo normale funzionamento.

Il giorno dopo

9:00

Per verificare se siamo ancora in una blacklist interroghiamo l’url https://mxtoolbox.com/blacklists.aspx ed indichiamo l’indirizzo ip con cui il nostro server SMTP interno usciva su internet.

Evviva! FlashStart® ha fatto bene il suo lavoro: non siamo più nelle blacklist. Ora il problema è risolto definitivamente.

Flashstart è lo strumento sicuro per navigare su Internet in azienda o in smart-working
Richiedi ora un’offerta e Inizia subito la tua prova gratuita

Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.