L'adresse IP d'un client est inscrite sur la liste noire - Quelles mesures prenez-vous pour empêcher l'inscription sur la liste noire ?

Pour éviter d'être mis sur liste noire à l'avenir, n'autorisez que les serveurs SMTP autorisés sur le réseau du client à envoyer des e-mails (ce que, je crois, vous avez déjà fait avec la partie "Pare-feu restreint..."), assurez-vous de ne pas être un relais ouvert et encouragez le client à ne pas envoyer d'e-mails commerciaux non sollicités qui pourraient être considérés comme du spam.

Je suppose que le client a installé un logiciel malveillant sur un ordinateur qui envoyait des courriels et que, comme tous ses ordinateurs pouvaient utiliser le protocole SMTP pour se connecter à Internet, le logiciel malveillant a pu transmettre les courriels qu'il générait.

Je reniflerais le trafic derrière le pare-feu, à destination du pare-feu, à la recherche de requêtes SYN sortantes vers Internet sur le port TCP 25. Cela pourrait permettre de trouver la ou les machines coupables, en supposant que le malware n'a pas compris ce que vous avez fait et n'est pas devenu silencieux. Wireshark ou un autre logiciel renifleur fera ce dont vous avez besoin.

Il ne s'agit pas vraiment d'un problème de liste noire d'emails, je suppose. Il s'agit plutôt d'un problème de type "les utilisateurs s'exécutent en tant qu'administrateurs et permettent à des tiers malveillants d'utiliser leurs ordinateurs", je suppose, à la base.

Je recherche des recommandations d'outils ou de processus afin d'identifier le problème de base pour le résoudre.

• https://amd.co.at/rbl

Une interface horrible et laide, mais qui fonctionne très bien. Il a été écrit par Michael Renner (ancien collègue de travail) et un autre de mes amis.

Quant à la recherche de la raison ultime, je n'ai rien trouvé de mieux que de vérifier les journaux. Un serveur central de logs est très utile car vous avez au moins un endroit central pour vérifier ce qui s'est passé.

Quelles mesures utilisez-vous pour empêcher l'inscription sur une liste noire ?

Assurez-vous d'avoir un double travail - entrée/sortie facilement disponible. De plus, de nombreux fournisseurs ont des pièges à spam où certaines personnes utiliseront cette adresse pour s'abonner à votre site. Si votre application ne dispose pas d'une double ouverture appropriée et que vous commencez à leur envoyer plus d'un ou deux e-mails, vous serez mis sur liste noire.

Les trucs standards comme n'autoriser que les expéditeurs qui passent par SMTP+TLS avec nom d'utilisateur et mot de passe Il convient bien sûr de configurer un DNS correct (DNS inverse), etc.

Il existe également quelques "fournisseurs de listes blanches" qui vous contrôlent de manière aléatoire. Bien sûr, j'ai oublié les liens, nous ne les utilisons pas vraiment car nous avons décidé que le coût est trop élevé pour le service qu'ils fournissent.

Pour identifier le problème à la racine, vérifiez le bloc d'adresses IP du réseau du client et assurez-vous qu'il existe une poignée d'abus facile à découvrir, enregistrée par ARIN ou le gestionnaire régional d'adresses IP du réseau. Si vous êtes le fournisseur d'accès à Internet, assurez-vous que son bloc réseau mène à votre bureau des abus en tant que contact des abus et que la boîte aux lettres des abus est surveillée pour une réponse rapide.

Le résultat final est qu'une infestation de spam finira par envoyer le spam à un piège à spam ou à quelqu'un comme SpamCop qui le signale au contact des abus. Sur la base de ce rapport, vous disposez d'une adresse IP pour pouvoir localiser la machine infectée. Le processus se déroule en deux étapes si la machine se trouve derrière un pare-feu.

Un deuxième cas fréquent est celui où la machine qui envoie le spam est un serveur de messagerie légitime. Un compte de messagerie est compromis en devinant un mauvais mot de passe (tel que "test", "password", etc.), ou un enregistreur de frappe sur un ordinateur utilisé pour récupérer le courrier électronique. Dans ce cas, le spam peut être arrêté en changeant le mot de passe du compte de messagerie. Il peut être nécessaire pour l'utilisateur final de nettoyer toutes les machines afin d'éviter que le nouveau mot de passe de l'e-mail ne soit divulgué par un keylogger. Dans ce cas, le propriétaire du serveur de messagerie légitime devra peut-être inspecter les journaux pour trouver d'autres indices et s'assurer qu'il n'y a pas d'autres problèmes.

Le fait de disposer d'une adresse de contact active pour les abus permet généralement d'éviter la mise sur liste noire, puisque vous êtes au courant du problème dès qu'il se présente.