Mio Dominio inserito in BlackList

[smol]

Salve ragazzi,
non so se questa è la sezione giusta in cui postare.
Comunque, il dominio di posta dell'azienda per cui lavoro viene continuamente inserito all'interno di black list spamcop e CBL.
Praticamente ogni giorno veniamo inseriti in queste black list e siamo costretti a fare la procedura di rimozione, ma puntualmente il giorno dopo si ripresenta il problema con il risultato che non riusciamo a mandare mail praticamente a nessuno.
Ormai ci siamo fatti una cattiva reputazione con le liste di antispam, infatti, anche se non risultiamo i nssuna black list, molti domini ci rifiutano comunque, in quanto la nostra reputation è poor.
Abbiamo una rete protetta da un firewall. Per la posta utilizziamo un mailserver interno installato su una macchina all'interno della nostra rete.
Qualcuno si è già trovato in situazioni analoghe?
Che test posso fare o dove devo andare per capire come si genera il problema?

Grazie

[nifriz]

DEvi contattare quelli della black list per sapere i motivi... di solito son problemi del provider..

[Habanero]

1) verifica che i vostri sistemi interni siano puliti. Il trojan spara spam è il mezzo più diffuso per inviare mail non richieste.

2) verifica che il vostro server smtp non sia Open, ovvero che non sia liberamente accessibile dall'esterno.

In ognuno dei due casi l'analisi dei log del server potrebbe individuarne l'origine.

3) La terza possibilità è che ad essere bannato non sia il vostro IP ma tutta la sottorete del provider. In tal caso il responsabile potrebbe essere un IP adiacente al vostro.

[smol]

Grazie Habanero,
ho fatto le verifiche che mi hai consigliato:
1 - Dai log del firewall e della nostra stazione di monitotaggio interna (nagios) non risultano macchine infette che fanno traffico di tipo spam

2 - Il server smtp non è open relay

3 - ho verificato su su senderbase.com che effettiovamente ci sono ben 3 indirizzi della mia stessa sottorete di cui 1 immediatamente adiacente al mio che sono identificati come spammer.

Ho contattato immediatamente il nostro provider (fastweb) e mi sono sebrati molto sorpresi e impreparati riguardo la cosa.
Comunque grazie per avermi aiutato ad identificare il problema.
Ma secondo te io attualmente non posso fare nulla? devo solo aspettare che siano loro (fastweb) a togliere gli IP infetti dalle black list?

[Habanero]

Originariamente inviato da smol
....
Ma secondo te io attualmente non posso fare nulla? devo solo aspettare che siano loro (fastweb) a togliere gli IP infetti dalle black list?

Temo di sì...
Su quale lista siete finiti?

[smol]

Mi sono assentato per qualche giorno, perchè ho fatto varie ricerche per rispondere alla tua domanda....
Comunque ho capito che alla fine noi finiamo sempre nella blacklist CBL, ma su quella si appoggiano SPAMCOP e SORBS.
Comunque, anche quando non siamo in nessuna blacklist, ad esempio mx.libero.it si rifiuta di parlare con il mio mailserver poichè senderbase.org mi porta come "poor reputation"....
Tra l'altro da Fastweb non mi hanno dato ancora notizie.
Sempre più assurdo...

[Habanero]

http://cbl.abuseat.org/

CBL lista sempre singoli IP non blocchi. Il problema quindi è necessariamente vostro.

Hai provato a leggere la voce "CBL listing diagnosis" nelle FAQ ? Contiene informazioni utili per individuare il problema.

Se inserisci l'ip nel box di lookup che informazioni ti dà?
http://cbl.abuseat.org/lookup.cgi

[smol]

Ciao Habanero, grazie ancora per l'aiuto.
Non riesco a capire proprio quale può essere il problema, e intanto stamattina per l'ennesima volta ho fatto un delisting.

Se inserisci l'ip nel box di lookup che informazioni ti dà?

IP Address 62.101.81.x was found in the CBL.

It was detected at 2008-03-17 20:00 GMT (+/- 30 minutes), approximately 14 hours ago.

It has been relisted following a previous removal at 2008-03-10 12:02 GMT

ATTENTION: If you are running IPSwitch Imail, or similar shared hosting software, please contact the CBL by email. If you are running Ensim, please read this for a workaround. Otherwise, this IP is infected with/emitting spamware/spamtrojan traffic and needs to be fixed.



Leggendo le Faq di CBL il mio problema può essere riconducibile alla situazione che lui chiama "indirizzo IP condiviso tra la rete e il mailserver". Il mio problema quindi potrebbe essere che qualche PC o Server in rete ha installato qualche malware o altre applicazioni pericolose che mi fanno andare in spam.
Ora la mia domanda è, come faccio a capire qual'è la macchina infetta?

Ho letto sempre su CBL che posso usare uno sniffer chiamato Wireshark, ed applicare un filtro sui pacchetti che vanno verso la porta 25 e non provengono dal mailserver. Ma in realtà non sono riuscito a scoprire molto.
Altri suggerimenti?
Ciao e grazie

[Habanero]

avete un router con capacità di firewall (o direttamente un firewall) ?
la cosa migliore sarebbe bloccare la porta 25 in uscita per tutti gli host tranne che per il mail server. In pratica solo il vostro mail server dovrebbe potersi connettere alla porta TCP 25 (SMTP) di un server su internet. In questo modo bloccheresti qualsiasi tentativo da parte di singole macchine della lan di inviare spam collegandosi ad un server smtp che non sia il vostro. Se poi il tuo router/firewall avesse anche capacità di logging potresti capire da quale macchina interna arrivano le connessioni.

Se il problema è una macchina infetta nella lan usare wireshark è un po' problematico perchè dovresti installarlo su ogni macchina... a meno che abbiate una macchina gateway attraverso cui passi tutto il traffico. In questo caso l'analisi andrebbe fatta su quella macchina. Non conoscendo la tua topologia di rete non posso darti altri consigli.

Sinceramente mi armerei di pazienza e analizzerei approfonditamente ogni macchina alla ricerca di trojan e spambot attravesro scansioni antivirus e antimalware.

[smol]

Per quanto riguarda l'architettura della nostra rete è la seguente:

LAN -> Firewall con funzioni di HTTP Proxy -> Router Fastweb -> Internet

Il nostro firewall ha capacità di logging che ho già attivato.
Mi sono messo un po' ad osservare il "live log" e non mi sembra di aver trovato attività sospette. Sulla porta 25 passa solo il mailserver

Comunque seguirò il consiglio che mi hai dat, bloccando la porta 25 per tutte le macchine della LAN (tranne il mailserver) che è una macchina linux (quindi non credo sia lei ad essere infetta) con un bel prodotto open source (zimbra, non so se lo conosci....).
Per l'altro suggerimento, me lo lascio come ultima spiaggia, perchè sarebbe veramente un lavoraccio!