Почему IP-адрес почти сразу попадает в Composite Blocking List?

Question

[NikoB]

IP-адрес сервера вечно попадает в CBL.



CBL Lookup информацияIP Address 176.9.138.XXX is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.



It was last detected at 2012-07-15 17:00 GMT (± 30 minutes), approximately 15 hours ago.



It has been relisted following a previous removal at 2012-07-15 10:57 GMT (21 hours, 21 minutes ago)



This IP is infected (or NATting for a computer that is infected) with a spam-sending infection. In other words, it's participating in a botnet. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.



Проверял антивирусом — ничего.

Все домены сервера подключены к GMail для домена. На всех доменах стоят SPF записи Google, на одном в SPF-записи разрешил отправлять письма еще и с сервера. (mail())

На всех доменах есть DKIM-записи.

Все что шлет сервер — это письмо при регистрации на сайте (серверу разрешено слать письма от этого домена), всего зарегистрировано не более 50 человек и регистрируется не боле 5 человек в неделю.

Порт SMTP открыт и сервер отвечает на запросы.



Почему IP-адрес почти сразу попадает в Composite Blocking List? Как найти причину и устранить ее?

Comments

[NikoB]

Выделенный сервер Hetzner

Answer 1

[Alukardd]

Рекомендую использовать только GMail сервера, если уже через них работаете… Т.е. что бы Ваш сайт рассылал уведомления не как сервер, а как клиент, связываясь по smts и imaps (если надо) с gmail.

Comments

[NikoB]

не вариант

[Alukardd]

Дело Ваше, но организовывать лишний relay только для отправки писем, имхо, бред.

[NikoB]

gmail имеет ограничение в 100 писем в сутки/аккаунт, которые можно отправить через smtp.google.com
отправить можно только от того ящика, на который зарегистрирован аккаунт google apps.
у меня google apps зарегистрирован на ящик admin@domen.ru, требуется отправить письмо от имени no-reply@magazin.ru — как поступить?

[Alukardd]

оО
У меня привязана тикет система к почтовому домену на google. На счёт 100писем не знаю, не превышал этих пределов. А касательно имен ящиков — заводите сколько хотите учёток, google mail apps для этого и создан (предоставляет SaaS, в данном случае почту на 50ящиков в бесплатном варианте)?

[Alukardd]

это был не вопрос, а утверждение)

Answer 2

[dinix]

А в логах почтовика тоже только 5 писем в неделю?
Может отправляют вам письма с подставным адресом отправителя и ваш почтовик их забраковывает и отправляет обратно(теперь уже адресату спам-рассылки).
Или висит перловый скрипт в процессах, который рассылкой занят(он ещё может запустить ssmtp или sendmail для себя), обычно его письма видно в /var/log/maillog и очередь писем огромная на отправку.
Хотя, возможно, проверки на openrelay бы это выявили.

Comments

[NikoB]

В логе куча таких строк:
2012-07-16 15:40:01 1Sqjej-00029C-ND <= <> R=1Sqjej-000290-HB U=Debian-exim P=local S=1471 from <> for www-data@176.9.138.XXX
2012-07-16 15:40:01 1Sqjej-00029C-ND ** www-data@176.9.138.XXX: Unrouteable address
2012-07-16 15:40:01 1Sqjej-00029C-ND Frozen (delivery error message)

[NikoB]

И таких:
2012-07-16 15:39:59 1SqG9h-0000IV-94 ** www-data@176.9.138.XXX: Unrouteable address
2012-07-16 15:39:59 1SqG9h-0000IV-94 Frozen (delivery error message)

[dinix]

for www-data@176.9.138.XXX
А чего там адрес после @ если домен должен быть?

[NikoB]

IP-адрес сервера

[NikoB]

я даже не знаю откуда эти письма шлются. может их ISPmanager слать?

[dinix]

Нужно смотреть local_domains в конфиге exim.
Unrouteable address говорит, что сервер не знает, куда слать письмо.

[dinix]

Может, но если он их шлёт для localhost, это нормальное явление.

[NikoB]

/etc/exim4/domains

176.9.138.XXX:176.9.138.XXX::no

[dinix]

А знаете, могу ошибаться, но если шлёт ispmanager, то шлёт от имени апача. значит у вас ServerName у апача не прописан — по умолчанию ip адрес становится ServerName.
С конфигом exim не смогу помочь — слишком редко сталкиваюсь.
Странно, что банится ip адрес, может исходящие письма с сервера идут со странным адресом отправителя, который unrouteable(т.к. ip адрес вместо домена), поэтому банит как спам.

[NikoB]

Получил ответ от CBL.
176.9.138.141 appeared to be suspicious because it was using the
following name to identify itself during email (port 25) connections
via the SMTP HELO/EHLO commands:

176.9.138.141

Исправил hostname, теперь все должно быть верно?

[dinix]

Вроде бы сейчас правильно на HELO отвечает(telnet на 25 порт можно проверить), значит и представиться должен правильно. Самый простой способ проверить — отправить письмо и глянуть логи )

Answer 3

[korzunin]

а то что отвечает на 25м порту корректно настроено? как openrelay не работает?

Comments

[NikoB]

Сервер корректно отвечает на запросы. Проверил на нескольких сайтах на предмет open relay — все нормально.

Answer 4

[vimvim]

У нас был случай, когда сервер ( расположенный на AWS ) попал в black list из-за того, что имя в HELO не соответствовало имени получаемом при обратном резолвинге IP. Решилось после прописывания корректного имени для ip.