Knowledge Base

L'archivio documentale di supporto ai prodotti Achab.

KB51852 MDaemon - Come evitare di finire nella black list CBL

Ultimo aggiornamento: 19/11/2018
Articolo valido per MDaemon versione: 15.0.3

Consigli per evitare che il proprio mail server sia bloccato dalla black list CBL

Composite Blocking List (CBL) è una delle black list che monitorano il traffico in uscita dai mail server e che intervengono quando rilevano del traffico anomalo o sospetto. Maggiori dettagli sulla mission e sul funzionamento di questa lista si possono trovare qui.


Verificare se si è listati da CBL
 
Per verificare se il proprio IP pubblico è inserito nella black list CBL si può procedere in questo modo:
 
1. Con un browser, aprire la pagina di verifica di CBL.
2. Inserire il proprio IP e il captcha e premere il bottone Lookup
 
 
fig. 1
 

Come risultato del lookup la pagina stessa riporta se l'IP è inserito o no nella lista. Nel caso in cui l'IP è listato, CBL ne riporta anche il motivo.
 

Perché si finisce in CBL?
 
CBL tipicamente può listare un IP per due motivi:
 
1. Presume che una delle macchine della LAN sia infetta con un trojian che effettua traffico anomalo verso l'esterno.
2. Presume che l'IP sia condiviso da più domini di posta che però non si "presentano" correttamente.
 
1. Macchina infetta
 
Lo scenario più dannoso per un server di posta è descritto dalla fig.2: il mail server si trova su una LAN o in una DMZ ed esce verso Internet attraverso un firewall. Una delle macchine appartenenti alla LAN in cui risiede anche il mail server è infetta da un trojian che fa sessioni SMTP verso l'esterno. CBL rileva questo traffico anomalo e banna l'IP sorgente che non è l'IP della macchina infetta ma l'IP del firewall. Il mail server, anche se incolpevole viene a questo punto penalizzato in quanto condivide con le altre macchine l'IP bannato.



fig. 2
 
 
Prima di richiedere il delisting a CBL, in questo caso occorre individuare con un buon antivirus la macchina o le macchine della LAN infette e ripulirle. In ottica preventiva invece si può:
1. Dotarsi di un buon antivirus per evitare l'infezione.
2. Bloccare la porta 25 in uscita per tutte le macchine che non hanno motivo di poter effettuare sessioni SMTP verso l'esterno.
 

2. IP condiviso da più domini di posta
 
Se il mail server gestisce più domini di posta che spediscono attraverso un unico IP condiviso, potrebbe verificarsi la situazione descritta dalla fig. 3:
 
 

fig 3
 
In questo scenario il traffico SMTP del mail server esce attraverso l'IP pubblico della rete. Il fornitore di connettività, per l'IP in esame, ha pubblicato un record PTR a beneficio degli host di destinazione che effettuano il reverse lookup. CBL effettua un controllo di questo tipo quando verifica il traffico di posta proveniente da un certo IP. Il mail server mittente, come illustrato dalla figura, si "presenta" all'host di destinazione attraverso il comando HELO/EHLO in cui tipicamente è inserito il nome host o l'IP del mittente. Nel primo esempio, per l'email inviata dal dominio "bb.achab.it" il mail server si presenta come "mail.bb.achab.it", informazione pubblicata nel record PTR dell'IP che sta spedendo: CBL approva. Nel secondo esempio, per l'email inviata dal dominio "dominio2.it" il mail server si presenta come "dominio2.it", informazione diversa da quella pubblicata nel record PTR dell'IP che sta spedendo: CBL disapprova.   
 
Per correggere questa situazione o per prevenire il listing da parte di CBL per questo motivo occorre:
 
1. Pubblicare il record PTR per l'IP mittente. Il lookup diretto dell'informazione pubblicata nel record PTR deve essere risolto nell'IP stesso.
2. Inserire l'informazione pubblicata nel record PTR come nome host di ciascun dominio gestito dal mail server (fig. 4)
 

fig. 4

 
Domini e IP multipli
 
Esiste ancora uno scenario leggermente più complicato in cui il mail server gestisce N domini e sono disponibili M IP (N > M) pubblici da cui spedire e si vuole che il traffico di alcuni domini transiti sia in ingresso sia in uscita attraverso degli IP riservati: alcuni domini quindi hanno il binding con uno specifico IP mentre gli altri usano un IP condiviso. In questo scenario occorre procedere come segue:
 
Domini con IP comune
  • Procedere come nello scenario precedente.
 
Domini con IP riservato
  • Pubblicare il record PTR per ciascun IP.
  • Inserire (Gestione domini > |dominio| > Nome host e indirizzo IP) l'IP nel campo  Indirizzo IPv4 (e/o Indirizzo IPv6) e abilitare l'opzione Questo dominio riconosce connessioni solo a questo IP per effettuare il binding in ingresso tra dominio e IP.
  • Abilitare l'opzione Impostazioni > Impostazioni server > Abbinamento > Abilita associaz. IP in uscita per domini con associaz. IP in entrata per effettuare il binding dominio/IP in uscita
  • Inserire l'informazione pubblicata nel record PTR di ciascun IP come nome host del dominio corrispondente.
 
Delisting da CBL
 
Se si è risolto il problema che ha causato il listing, si può procedere al delisting che, nel caso della lista CBL è molto semplice: nella pagina in cui era mostrato il risultato del lookup con le relative spiegazioni è presente anche un bottone per richiedere il delisting (fig. 5):
 
 
fig. 5
 
 

Questo articolo ti è stato utile?

Lasciaci un feedback

Hai trovato delle inesattezze, vorresti fare delle integrazioni all'articolo o anche solo darci un tuo parere? Scrivici liberamente utilizzando il modulo sottostante.

 

Le tue informazioni non verranno pubblicate, ma inviate privatamente al responsabile della Knowledge Base.