web-dev-qa-db-fra.com

Je continue à me faire mettre sur la liste noire.

Je viens d'acheter un VPS avec Centos 6 et j'ai installé ZPanel dessus.

J'ai créé une boîte aux lettres et tout semblait fonctionner parfaitement pendant quelques jours, mais tout à coup, mon courrier a cessé de fonctionner.

J'ai fait quelques dépannage de base et découvert que j'étais sur la liste noire (CBL). J'ai immédiatement analysé le virus avec CLAMAV et tout allait bien.

J'ai également créé un enregistrement DNS inversé, puis je me suis retiré de la liste noire. Tout allait bien pendant deux jours et maintenant, je suis de retour sur la liste.

FYI: le domaine est strongimages.net

Que dois-je faire pour ne plus être listé?

1
pgunston

La liste noire CBL n'est pas une liste noire de courrier électronique en soi. Il est utilisé pour indiquer qu'un système est compromis, cependant, je blâme les méthodologies de la façon dont les systèmes sont détectés et placés sur cette liste noire. Tout ce qui est requis est un fonctionnement légitime et un accès unique au mauvais endroit.

Comment cela fonctionne est souvent très simple. Tout accès IP/port à un serveur de commande et de contrôle connu d'un pirate est détecté par un routeur ou un autre périphérique réseau, souvent au sein du réseau d'hôtes ou du fournisseur de services Internet. Cet appareil signale ensuite l'accès à la liste noire automatiquement. C'est instantané. Les accès les plus fréquemment bloqués sont le port HTTP 80 et le port 25 SMTP.

La prémisse est la suivante. Ces ports sont souvent utilisés car ce sont des ports ouverts. Un système est compromis et un logiciel de commande et de contrôle est installé pour utiliser ces ports communs. Tout autre système compromis crée un serveur HTTP ou SMTP (mini) utilisé pour transmettre les données d'un système client compromis au serveur de commande et de contrôle. Cela devient plus compliqué que cela, mais cela suffit pour comprendre ce qui se passe. Les fournisseurs d’accès Internet et les sociétés hôtes coopèrent parfois et mettent en place des interruptions pour les paquets destinés au serveur de commande et de contrôle par adresse IP et port. Tout accès innocent est capturé. Par exemple, toute personne naviguant sur le Web peut cliquer sur un lien vers un serveur Web qui a été compromis. Ceci est un lien approprié fait de la manière habituelle d'une page à une autre. L'adresse IP de l'utilisateur est alors immédiatement mise sur la liste noire.

Dans votre cas, en supposant que vous n'utilisez pas de serveur proxy, ne analysez pas, ne faites pas de grignotage de contenu sur le Web, alors je supposerais qu'un courrier électronique valide dans votre liste de messagerie utilise un nom de domaine qui est un. système compromis connu agissant en tant que serveur de commande et de contrôle. Le simple fait d'envoyer un courrier électronique à cette adresse électronique fait que vous êtes placé sur une liste noire.

Ce que vous devez faire est de vérifier que tous vos noms de domaine d’adresses de messagerie ne sont pas inscrits sur la liste noire un à la fois. Cela peut prendre beaucoup de temps. J'ai des outils pour cela que j'utilise ici, cependant, mon outil en ligne préféré est: http://mxtoolbox.com/blacklists.aspx Vous pouvez vérifier votre nom de domaine d'adresse de messagerie ici. Une fois que vous en avez trouvé une dans CBL ou peut-être dans d'autres listes noires, une décision doit être prise. Vous devez supprimer ces adresses de votre liste jusqu'à ce qu'elles soient supprimées de la liste noire.

2
closetnoc