1、什么是邮件黑名单?
随着互联网的不断普及和扩大,在它带给人们方便的时候,也给了一些黑客从事非法活动提供了很隐蔽的方式。黑客经常利用一些木马、病毒程序从事非法活动,对企事业单位经常会造成不可想象的损失。而这些可恶的木马、病毒程序常常隐藏在邮件当中,而这些邮件我们称之为垃圾邮件。
为了让垃圾邮件对人们造成的损失降到最低,人们使用了各种办法,其中一个办法就在全球建立了多个反垃圾邮件的网站,这些网站制定一些垃圾邮件检测规则,凡是属于这些规则的邮件都属于垃圾邮件,当来自一个邮件服务器的垃圾邮件过多时,这些网站就会将这个邮件服务器列入黑名单,禁止这个邮件服务器向外发送邮件。
—
2、如何确定邮件服务器被列入黑名单?
通过上一段的介绍,大家应对邮件黑名单有个大致的了解,那怎么样才知道自己企业邮件服务器被列入黑名单了呢?
方法一:查看错误退信
方法很简单,当某天你发邮件时,接收方告知你没有收到你发的邮件,这时你应该立刻进入你的邮箱收件列表,这时如果你的收件列表有一封由一封来至企业邮箱服务器发给你的错误信息邮件 (标题类似: failure notice),打开该邮件,正文会列出一段英文信息:
Hi. This is the deliver program at x.callh I’m afraid I wasn’t able to deliver your message to the following addresses. This is a permanent error; I’ve given up. Sorry it didn’t work out. [链接登录后可见] (发件人的邮箱) 550 #5.7.1 Your access to submit messages to this e-mail system has been rejected. — Attachment is a copy of the message
英文信息表示你的服务器可能出现问题,不能将邮件投递出去。如果你邮件里真出现了上面所讲的邮件,那么恭喜你,你们企业邮件服务器十有八九被某个反垃圾网站列入了黑名单。
方法二:使用 Spamhaus 网站查询
这个时候你马下进入下面这个地址网站:[链接登录后可见]
[链接登录后可见]
在中国大陆的邮件服务器如果被列入黑名单,一般会在这个网站上查找得到。要确认自己企业邮件服务器是否被列入了黑名单,在 Enter an IP Address 输入框内输入你邮件服务器的 IP 地址,点击 Lookup 按钮查询。
[链接登录后可见]
在查询结果中,可能会出现如下行信息:
59.55.125.83 is not listed in the SBL
59.55.125.83 is listed in the PBL in the following records: PBL 201019
59.55.125.83 is not listed in the XBL
名词解释:
SBL: 已经经过验证的垃圾邮件源及确有垃圾邮件发送行为的实时黑名单列表。它也是 spamhaus 最主要的项目之一。如果你被列入算是严重事件,被列入后,需要你的 ISP (电信或是网通) 的 IP 管理人员去和 Spamhaus 联系才有可能移除。
XBL: 是针对因为安全问题被劫持 (比如僵尸机) 或是蠕虫/病毒,带有内置式垃圾邮件引擎和其他类型的木马来发垃圾邮件机器的实时黑名单 IP 列表。因为被列入 XBL 的服务器大多为被第三方劫持利用,所以有可能导致误判断。
PBL: 主要包含动态 IP 及哪些允许未经验证即可发送邮件的 SMTP 服务器的 IP 地址段。这一个列表最明显的特点就是提供了一个 IP 地址移除的自助服务,被列入后,可以自己申请移除。影响并不大。
—
3、如何将邮件服务器从黑名单中移除?
如果你们企业邮件服务器 IP 被列入了 SBL、XBL、PBL 中任意一个说明被列入了黑名单,从而导致邮件发送不出去。
移除步骤(以 PBL 为例):
点击链接: 为了解除 PBL 黑名单列表,点击查询结果中 “is listed in the PBL” 后面的编号(如 “PBL 201019”)。
填写信息: 填写申请表。特别提醒:在 “IP Address to remove” 框内填写要删除的邮件服务器 IP;在 “Your Email Address” 框内填写申报人的邮箱(必须是该企业的一个邮箱)。
提交申请: 点击 “Submit” 提交。
输入验证码: 在 “Enter your 5 digit code” 中输入 5 位数字。这 5 位数字从上一步填写的邮箱中获得。
完成: 点击 “Finish” 按钮完成流程。
—
总结与深度排查
在完成移除黑名单申请后一天,企业邮箱恢复了正常。但如果一个星期之后又出现了发不了邮件的情况,必须进行深层原因排查:
原因一:内网中毒
如果企业邮件服务器多次被列入黑名单,很可能是企业内部有电脑中毒了,自动向外发送垃圾邮件。
- 对策: 利用抓包软件,对单位内网发往外部的数据流进行抓包分析,跟踪并清理中毒电脑,做安全加固后再申请解除。
原因二:网络结构导致的“邮件 IP 欺骗”
现象: 邮件服务器部署在防火墙内部,自身配置内部 IP (IPn1)。防火墙上配置了一个对应外网 IP (IPw1)。另外防火墙配置了一个出口默认外网 IP (IPw2)。
问题: 邮件服务器发邮件时通过 IPw2 出去,而收邮件通过 IPw1。
结果: 造成了一台邮件服务器拥有两个不同的外网 IP,形成了邮件 IP 欺骗,反垃圾邮件网站会
