Tento článek řeší problematiku ohledně e-mailových Blacklistů, které jsou nedílnou součástí nejoblíbenější on-line komunikace. Probereme, co to Blacklisty jsou, jak se na ně dostanete a odstraníte. Povíme si taky něco o preventivních opatřeních.
Co to jsou email Blacklisty?
Určitě tento termín neslyšíte poprvé. V informatice se používá pro seznamy obsahující něco zakázaného či blokovaného. Nejrozšířenější Blacklisty, jsou právě ty, které obsahují IP adresy serverů, které rozesílají spam..
Blacklist si může vytvořit každý, ale je lehce přes 100 světově uznávaných Blacklistů, které e-mailové servery berou vážně. To znamená, že máme databází seznamů, na které koukají mailservery, než se rozhodnou e-mail doručit do schránky svého uživatele.
V článku, jak zlepšit doručitelnost e-mailů jsme tohle téma lehce nakousli. Kromě rad, jak zvýšit šanci, že e-mail nebude označený jako spam pomocí SPF, DKIM a DMARC záznamu. Ukázali jsme také nástroje, které známé Blacklisty oscanují a řeknou vám, jestli se zadaná IP adresa na seznamu nachází.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Jak se na Blacklist dostanu?
Možností, jak se na nepopulární seznam dostat je více. Můžete posílat legitimní newsletter, ale máte nekvalitní databázi e-mailových adres. Díky tomu se spousty e-mailů vrací a kontrolní mechanismy Blacklistů vás mohou na tento seznam zařadit.
Můžete mít kvalitní databázi, ale nemáte nastavené SPF, DKIM a DMARC záznamy a tím pádem vaše e-maily neprocházejí přes spamovou kontrolu, která může mít za následek zařazení na blokovací seznam.
Nejčastější příčina je bohužel prolomení hesla k emailové schránce od nějakého spamera, který vaší schránku zneužívá k odesílání nevyžádané pošty. Bohužel pod vaší doménou a IP adresou.
Poslední varianta zahrnuje nezabezpečený webový formulář, který spamer může využít k rozesílání nevyžádané pošty. Tady vždy platí zabezpečit webový formulář pomocí kontrolních otázek nebo recaptchy. Ukážeme si v druhé části článku.
Jak poznám, že jsem na Blacklistu?
Jakmile se objevíte na uznávaném Blacklistu, tak se vám odeslané zprávy budou vracet jako nedoručenky. Když prozkoumáte, proč se nepodařilo zprávu odeslat, tak uvidíte většinou něco jako…
Vždycky dostanete informaci, že se vaše IP adresa nachází na Blacklistu a hlavně dostanete URL, kde najdete více konkrétních informací, jak se z daného seznamu odstranit.
Záznam z /var/log/mail.log může vypadat takto:
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
May 30 08:48:47 mav00-vas-hosting-test postfix/error[60570]: EE32BCE4EB7: to=
Nejrychlejší cesta, jak zjistit jestli je vaše IP adresa na seznamu je pomocí jednoho z těchto online nástrojů:
- MXToolBox – Umí kontrolovat Blacklisty, ověřovat správné nastavení SPF, DKIM a DMARC záznamů nebo umí analyzovat hlavičky e-mailů
- IBM DNS Blacklist – Stačí zadat IP adresu a uvidíte, jestli jste na blacklistu
- Office 365 Blacklist – To uvidíte v nedoručence, že jste se dostali na blacklist a vaší zprávu není možné doručit. Najdete tam i odkaz nadelistování, který musíte potvrdit.
- Barracuda Blacklist – Korporátní Firewall/Blacklist
- Cisco / Ironport – Další známý korporátní blacklist.
- DNSstuff.com– Podobný nástroj, jako mxtoolbox ale má o pra blacklistů více.
- MultiRBL.valli.org – Nejoblibenější nástroj, který dokáže zkontrolovat až 120+ blacklistů. Tedy nejvíce ze všech nástrojů.
Jak odstranit svůj záznam z Blacklistu?
Tady bohužel neexistuje ucelený návod, jak postupovat. Vždy v nedoručence najdete odkaz na webovou stránku, kde se dozvíte, jak se můžete ze seznamu odstranit.
Každý Blacklist k tomu přistupuje jinak:
-
- Stačí vložit e-mailovou adresu a IP adresu a do pár hodin je hotovo,
- vložíte e-mailovou adresu, na kterou příjde potvrzovací e-mail, který potvrdíte,
- nějaké seznamy chtějí menší poplatek za odstranění,
- vždy je nutné přečíst instrukce na dané URL, kde se popisuje, jak se můžete ze seznamu odstranit.
Pokud URL v nedoručence není, tak je potřeba napsat název Blacklistu do Googlu a najít webovou stránku s potřebnými informacemi.
Takto vypadá 3 krokový formulář delistování z Blacklistu Office 365.
Jak postupovat při zařazení na Blacklist
Teď nám pomohou e-mailové logy a příkazová řádka.
Když spamujete, tak je potřeba:
- Najít příčinu a konkrétní zdroj – Jedná se o infikovaný web, nezabezpečený formulář nebo posílá spam konkrétní e-mailová schránka?
- Smazat infikovaný soubor, zabezpečit webový formulář nebo přeheslovat e-mailovou schránku
- Vyčistit e-mailovou frontu a napsat nám, jaké kroky jste učinili, abyste tomu zamezili
Jak najít zdroj spamu?
Jako první se musíme podívat do e-mailové fronty, kde najdeme tzv. ID e-mailu.
Na postiženém serveru zadáme na SSH příkaz:
mailq
Ten zobrazí veškeré e-maily ve frontě. Někdy jich tam je spousty, tak užitečný příkaz je tail 20. Tento druhý příkaz nevypíše celou e-mailovou frontu, ale pouze posledních 20 e-mailů.
mailq | tail -20
ID zprávy najdete hned na začátku výpisu, takže jej stačí zkopírovat. Pomocí příkazu postcat zjistíme o dané zprávě více informací. Nejdůležitější informace jsou hned na začátku zprávy, takže místo doplňujícího příkazu tail využijeme head.
$ postcat -q BCEB97F682 | head -50 *** ENVELOPE RECORDS active/27E70B3B1 *** message_size: 3001 2450 20 0 3001 0 message_arrival_time: Fri Jan 15 10:06:00 2021 create_time: Fri Jan 15 10:06:01 2021 named_attribute: log_ident=27E70B3B1 named_attribute: rewrite_context=remote named_attribute: sasl_method=LOGIN named_attribute: sasl_username= sender: mojespamovaci@schranka.cz named_attribute: log_client_name=unknown named_attribute: log_client_address=127.0.0.1 named_attribute: log_client_port=52564 named_attribute: log_message_origin=unknown[127.0.0.1] named_attribute: log_helo_name=[127.0.0.1] named_attribute: log_protocol_name=ESMTP named_attribute: client_name=unknown named_attribute: reverse_client_name=srv-91-224-92-168.mujserver.cz named_attribute: client_address=127.0.0.1 named_attribute: client_port=52564 named_attribute: server_address=foo.bar.baz.xxx named_attribute: server_port=25 named_attribute: helo_name=[127.0.0.1] named_attribute: protocol_name=ESMTP named_attribute: client_address_type=2 named_attribute: dsn_orig_rcpt=rfc822;prijemce@schranky.com
Tady z vypisu vidíme, že zprávy ve frontě jsou ze schránky mojespamovaci@schranka.cz. Víme tedy zdroj a můžeme provést potřebné kroky. Někdy uvidíte, že se spam odesílal z nějakého PHP skriptu nebo uvidíte název svého webu.
Skvělý příkaz, který vám pomůže najít informace o blacklistech je
cat /var/mail.log | grep blacklist
Příkaz projede celý mail log a prozkoumá veškeré nedoručenky, jestli se v nich objevuje slovo blacklist. Kdekoliv ho najde, tak na příkazové řádce vám vyjedou veškeré informace, které se v nedoručenkách nacházejí. Můžete použít také naše VPS Centrum viz.
Známe viníka, co teď?
Teď probereme, jak postupovat při řešení situace, když už víme co nám spam posílalo.
Spamoval web
Když nám spamuje web, tak existují 2 hlavní viníci, které rozesílání nevyžádané pošty způsobují.
- Nezabezpečený webový formulář
- Zranitelnost webu v podobě nahrání škodlivého skriptu
Zabezpečení webového formuláře
Většina webů má kontaktní formulář pomocí kterého mohou návštěvníci posílat dotazy nebo poptávky. Je to nedílná součást marketingu, jenže bohužel i největší rozesílač spamu.
Pokud takový formulář na webu máte, tak jej musíte i správně zabezpečit. To lze udělat vícero způsoby, ale ten nejrozšířenější je reCAPTCHA od Googlu.
Stačí zaregistrovat svůj web, ověřit doménu a nakonec formulář s tímto nástrojem propojit. Tady je např. návod, jak zprovoznit reCAPTCHU na WordPressu.
Další možnosti jsou kontrolní otázky či nějaké počty, ale chytrý spammer si může web otestovat, zjistí kolik tam má otázek a pak své spamboty upravit, takže takové řešení nedoporučujeme.
Cloudflare se snaží přijít na chytřejší a rychlejší řešení, které by nám život na internetu zase zpříjemnili. Průměrnému člověku vezme jedna challenge kolem 32 vteřin a podle jejich propočtů ztratíme 500 let života každý den, jen abychom potvrdili, že jsme lidi.
Nahrání škodlivých souborů
Druhým nejčastějším problémem je neautorizované nahrání souboru přímo na web. To znamená, že útočník si může nahrát backboor do vašeho webu nebo právě spamovací skript, který bude zneužívat váš web a IP adresu.
Tady přichází na řadu kontrola FTP. Ať už používáte FTP klienta nebo webové rozhraní, tak všude uvidíte, kdy naposledy se soubor měnil nebo nahrával. To nám pomůže při detektivní práci.
Pokud jste na web dlouhé týdny nic nepřidávali, a uvidíte soubor se jménem xmadnez.php, tak už jenom název prozradí, že se nejedná o váš soubor. Taky vidíte, že byl nahrán v době, kdy začal web spamovat.
Názvy soubory jsou vždycky jiné, ale datum poslední změny nikdy nelže. Tady je důležité znát svůj web a vědět, jaké soubory k webové prezentaci patří, protože to váš hostingový provider nemůže vědět. Případně se obraťte na vašeho správce webu nebo programátora.
Jakmile podezřelý soubor najdete, tak ho musíte nejdříve odstranit a pak hledat, jak se tam vlastně dostal. Nejčastěji bývá chyba v nastavení PHP nebo zranitelnost aplikace, ale to v dnešním článku nedokážeme obsáhnout.
Obvykle se provádějí tzv. penetrační testy, které dokážou odhalit, jestli je web náchylný k podobným chybám. Můžete mrknout na základní typologie bezpečnostních testů. Nástroje, které poslouží k testům je např. známy nmap nebo Kali Linux, které už mají potřebné nástroje implementované
Odposlechnuté přístupové údaje (FTP, administrace)
Poslední možností je odposlechnutí nebo cracknutí hesel na FTP, do administrace nebo aplikace 3. stran. Např. se nedoporučuje ukládat hesla do FTP klientů, jako je WinSCP nebo Filezilla, protože většina malwaru umí taková hesla odposlechnout.
Pokud lezete na stránky s torrenty, seriály zdarma a kliknete kam nemáte, tak se k vám může dostat odposlouchávací malware, který sbírá vaše přístupové údaje kamkoliv na internet jdete.
Ať už to je Netflix, administrační prostředí vašeho webu nebo FTP. Takové údaje pak útočník může někomu prodat nebo je použije k vlastnímu prospěchu, jako je rozesílání spamu.
Tady se doporučuje nainstalovat bezpečnostní antivir, který vás bude proti takovým virům chránit. Pokud nemůžete přijít, na to, jak se tam soubor dostal, tak nejlepší řešení je změnit hesla k FTP, administračnímu prostředí a následně si počítač projet antivirem.
Spamovala e-mailová schránka
Pokud spamovala e-mailová schránka, tak postup řešení je následovný.
Změna hesla
Jako první musíme k dané schránce změnit heslo. Nejlepší heslo je náhodně vygenerované. Často má schránka slabé heslo a někomu se podaří cracknout a pak rozesílá spam, dokud jej nikdo nezastaví.
Doporučujeme přečíst náš nedávný článek, jak pracovat s hesly.
Kontrola veškerých zařízeních
Může se stát, že na nějakém zařízení máte nějaký malware. Je tedy nutné většinu zařízení zkontrolovat, jestli nemají škodlivý software nainstalovaný. Nezapomeňte, že i mobilní zařízení mohou mít malware.
Doporučujeme projet zařízení dostupným antivirem a ověřit si, že přístupové údaje neposílá kam nemá.
Kontrola wifi zabezpečení
Další možností je přítomnost útočníka ve WiFi síti. Pokud tam máte slabé zabezpečení nebo slovníková hesla, tak existuje možnost, že útočník odposlouchává vaší síť. Pokud tedy veškerý přenos není přes HTTP, tak může odposlouchávat a odcizit vaše hesla.
Pokud máte zabezpečení WPA/2 a silné heslo, které se ve slovníku nenachází, tak šanci útočníkům pomalu nedáte.
Vše jsem vyřešil, co teď?
Poslední krok, které ve spamovacím incidentu musíme udělat, je vyprázdnit frontu. Díky VPS Centru to je opravdu to nejmenší. Přihlásíte se do administrace a v sekci Správa serveru > E-mail zadáte e-mailovou schránku, která spamovala a kliknete na vyprázdnit frontu.
Díky tomu se veškeré e-maily ve frontě smažou a nebudete odesílat nevyžádanou poštu.
Případně můžete využít SSH # cd /var/spool/mqueue/ # ls # rm *
Tímto způsobem vymažete všechny e-maily pomocí příkazové řádky.
Gratulujeme, dokázali jste incident se spamem a Blacklistem vyřešit.