Autore: Vittore Zen
Una analisi post-mortem di come il comportamento di alcuni utenti e alcune dimenticanze dell’amministratore di rete ci hanno trascinato dentro il buco nero delle black list e come i servizi di FlashStart® ci hanno aiutato a rimuovere l’indirizzo IP dalla lista nera e vivere felici.
Una giornata di ordinaria follia
10:00 | la telefonata
Lo staff IT viene chiamato dall’ufficio amministrativo: si lamentano perchè quando scansionano un documento nelle stampanti multifunzione le scansioni (scan to email) non arrivano nella loro casella email.
10:05 | la seconda telefonata
Lo staff IT viene chiamato dall’ufficio marketing: si lamentano perchè da alcuni giorno alcuni clienti hanno evidenziato che email importanti a loro inviate erano state catalogate come Spam e messe nella rispettiva cartella.
10:15 | i log del server smtp
Lo staff IT controlla che le scansioni vengano inviate correttamente ai server smtp interni. Successivamente controlla il corretto inoltro delle email e analizza i file /var/log/mail.log /var/log/mail.info and /var/log/maillog
Nei log del nostro server SMTP interno su cui le scansioni dalla multifunzioni si appoggiano per l’invio, ci sono diverse righe con errore SMTP 421 e altre con errore SMTP 550. Ricordiamo che gli errori 421 indicano blocchi temporanei e il server di posta tenterà di inviare nuovamente le e-mail.
Esempio di un errore SMTP 421:
due to the nature of the content and/or the links within. To best protect our users from spam,
the message has been blocked. Please visit https://support.google.com/mail/answer/188131
for more information. u22si16671234pfl.244 – gsmtp
550 errors are permanent failures. You will have to take some action before Gmail removes your server IP address from their blacklist.
Gli errori SMTP 550 indicano fallimenti permanenti. Sarà quindi necessario intraprendere alcune azioni prima che, ad esempio, Gmail rimuova l’indirizzo IP del server di posta dalla loro lista nera.
Esempio di un errore SMTP 550:
host gmail-smtp-in.l.google.com [173.194.71.26]:
550-5.7.1 [194.XXX.XXX.181] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. k8si8849879lbl.62
Questi errori iniziano ad indirizzarci verso un problema: i server gmail non stanno accettando il nostro traffico perché siamo in una black list.
10:30 | blacklisted
Per verificare se siamo in una blacklist interroghiamo l’url https://mxtoolbox.com/blacklists.aspx ed indichiamo l’indirizzo ip con cui il nostro server SMTP interno esce su internet.
Ops! Siamo nella blacklist. Ora le domande sono due:
» Perché siamo nella blacklist?
» Unica soluzione per risolvere questo problema è aspettare?
10:35 | il firewall di Mikrotik
Per dare una risposta alla prima domanda lo staff IT inizia ad indagare più in profondità. Si parte analizzando il firewall perimetrale, un apparato Mikrotik con a bordo l’ultima versione di RouterOS. Si nota un traffico stranamente elevato in uscita dalla rete. Usando il comando /tool torch i dati ci dicono che il traffico uscente deriva dal servizio DNS: il nostro router Mikrotik sta risolvendo nomi non solo per la nostra rete interna ma anche per qualsiasi client presente in internet: Accidenti, siamo un DNS open resolver e non lo sapevamo (vedi articolo “Evitare i DNS open resolver su Mikrotik”) . Chiudiamo tutte le porte DNS che ci eravamo dimenticate aperte.
E’ probabile che il nostro essere inclusi in una black list derivi da questo ruolo che abbiamo assunto in rete.
11:00 | l’utente
L’antivirus segnala che nella cache di navigazione di un utente ci sono dei file riconducibili ad una attività di phishing. L’amministratore di rete chiama l’utente, il quale conferma che ha fatto click su un link che era indicato su una email ricevuta, si è aperta una pagina internet con un link su cui ha fatto click e poi è comparso un avviso dell’antivirus che non ricorda, in ogni caso ha confermato tutto quanto proposto. Non ci voleva anche questa. Che giornata! I problemi segnalati alle 10 non sono ancora risolti, le email continuano a non arrivare.
13:00 | il consiglio
Il collega ha sentito parlare di FlashStart® e dei sui servizi legati al filtraggio internet e ai DNS. Obiezione: ma FlashStart® è solo un DNS resolver, cosa c’entra con le blacklist?
13:15 | FlashStart®
Ci si collega al sito di FlashStart® e si attiva una versione demo sulla propria rete (attiva una free trial). FlashStart è uno dei più efficaci e semplici filtri in Cloud per la protezione da malware e contenuti indesiderati, distribuito globalmente in oltre 120 Paesi e sviluppato interamente in Italia.
Dopo pochi minuti di configurazione il sito di phishing non è più raggiungibile dalle postazioni degli utenti: se ci fosse stato prima l’utente non avrebbe avuto modo di commettere errori facendo click azzardati. Si inizia a vedere la luce…
14:00 | il secondo indirizzo IP
Nel sito di FlashStart® (guida) si è letta la documentazione relativa alla rimozione dalle blacklist. Lo staff IT non deve fare nulla, entro qualche ora il sistema di FlashStart® farà il lavoro per noi.
Per il momento si modifica la configurazione del firewall Mikrotik aggiungendo una regola di src-nat per far uscire il server SMTP interno con un IP diverso da quello pubblico presente nella blacklist:
La posta riprende il suo normale funzionamento.
Il giorno dopo
9:00
Per verificare se siamo ancora in una blacklist interroghiamo l’url https://mxtoolbox.com/blacklists.aspx ed indichiamo l’indirizzo ip con cui il nostro server SMTP interno usciva su internet.
Evviva! FlashStart® ha fatto bene il suo lavoro: non siamo più nelle blacklist. Ora il problema è risolto definitivamente.
Flashstart è lo strumento sicuro per navigare su Internet in azienda o in smart-working
Richiedi ora un’offerta e Inizia subito la tua prova gratuita
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.