Spamhaus не задумываясь скинет на Вас ядерную бомбу, заподозрив в причастности к рассылки спама

в 8:23, , рубрики: spamhaus, системное администрирование, спам, Спам (и антиспам), спамеры, метки: , ,

Здравствуйте уважаемые коллеги!

Хочу рассказать о занятном случае, принесшем неделю проблем в работе с электронной почтой нашей компании, да видимо не только.
За долгие годы работы в IT я навидался много. И ламеров, дающих налево-направо «умные» советы с авторитетным видом и реальных специалистов, живущих по принципу: я все знаю, но никому не скажу. Всякие есть люди. Но по-моему, главная черта человека разумного именно разумность, то есть способность применять разум. Тавтология, конечно, но именно об этом речь.
Все началось с того, что 22 марта одна из наших сотрудниц пожаловалась на то, что ее письма не доходят до адресата. Пользователи у нас в меру грамотные, поэтому жалобу она подкрепила отбойником от Mail Delivery System квинт-эссенцией содержания которого было:

host xxx.xxx.su[1.2.3.4] said: 550 5.7.0 Your
server IP address is in the SpamHaus SBL-XBL database, bye (in reply to
RCPT TO command)


Чтож, это меня не испугало, но удивило. Нас, так сказать, «посчитали». Конечно, понятно, виной тому может быть и вирус или троянец в сети, и неверная настройка почтового сервера, но все же начать следовало с того, что бы прочитать запись в системе Spamhaus. Адрес нашего SMTP сервера нашелся в записи Ref: SBL133720. Прочитав ее я обомлел. Я сам пользовался системами SpamCop и Spamhaus много раз, полагаясь на то, что там сидят именно эти самые человеки разумные, желающие победить спам, ну или хотя бы снизить его количество. Но такое… Запись гласила:

Ref: SBL133720
217.147.31.0/24 is listed on the Spamhaus Block List (SBL)
2012-03-22 11:37:53 GMT | SR04 | tel.ru
Spam and cybercrime host: iqhost.ru (AS52201 >>> AS50465)

LLC "TC TEL" routing to cybercrime hosting operation at iqhost.ru. One of the worst in the world.

www.cidr-report.org/cgi-bin/as-report?as=AS50465

AS50465 IQHOST IQHost Ltd

Adjacency: 2 Upstream: 2 Downstream: 0
Upstream Adjacent AS list
AS34221 QL-AS JSC QUICKLINE
AS52201 TCTEL LLC "TC TEL" (AS31430)

Адреса сетей не изменяю.
Далее следовало перечисление всех IP сетей, выделенных нашему провайдеру и входящих в AS31430. Таким образом записано в спаммеры было просто несчетное количество народа. Масштабно. Администрация Spamhaus явно сломалась.По сути, мне инкриминировалось «вхождение» в сеть провайдера, а ему(провайдеру), — BGP роутинг с автономной системой хостера, которого считали буквально самым большим в мире гнездом киберпреступности.
Натуральная паранойя. Где Рим, а где Крым. Может проще сразу запретить почтой пользоваться, а вдруг там спам или еще что похуже.

В этой записи было еще много данных о «раскрытых» ботнетах и спам-узлах в сетях IQHOST. Постить сюда эту воду не буду. У кого возникнет желание, могу выслать скрин.

Кипя возмущенным разумом я написал на sbl-removals письмо с подробным изложением ситуации. К этому времени жалобы пользователей сыпались на меня градом. Робот в Spamhaus принял мою заявку мгновенно, о чем пришло подтверждение. Но ответа на заявку не последовало. И на следующий день проблемы продолжились. Позвонив провайдеру и уточнив, что они тоже принимают меры, я решил найди обход. Попросить сотрудников с проблемными адресатами, передать по телефону просьбу к IT персоналу компаний-адресатов добавить нас в белые списки (ну какой нормальный админ будет вписывать что-либо в white-list неизвестно кого) или связаться со мной, дабы я мог внести ясность. Какого было мое удивление, когда никто не захотел хотя бы выслушать объяснение. Мотивация типа, — «сами виноваты, решайте свои проблемы самостоятельно» и сподвигла меня на написание этой пространной истории.

Друзья, коллеги! Доверяя определенной технологии не забывайте думать самостоятельно, вдруг те, кто этой технологией управляет не задумался о последствиях своих действий. Ошибаются все! Кто-то реже, кто-то чаще. А ведь решить, при желании, можно практически любую проблему.

P.S.
В заключении добавлю, что только после совместных действий IQHOST и TEL (ну и возможно моих) данная запись была удалена Spamhaus из базы. Но произошло это только 26 марта, через четверо суток.
Возможно здесь, на Хабре, есть люди из TEL или IQHOST, кто знаком с деталями переписки со Spamhaus и сможет добавить подробностей.

Автор: alx_nk

Поделиться

* - обязательные к заполнению поля