當一個網域發送的郵件量已經超出正常範圍的時候,想當然...容易被所謂的「國際組織」盯上,進而讓自己的網域進入了「即時黑名單」。即時黑名單殺傷力之強可是馬上可以見到的,以 TigerLin 朋友的公司來說,由於該公司有提供電子報派送的服務,發送郵件的數量除了代管的客戶外同時幾乎以每兩天 10 萬封的數量寄送
而被列入即時黑名單的原因不外乎以下幾項(大項目與部分內文摘錄自 IThome):
- Open Relay
還記得 2000 年左右 SPAM 很風行的年代常有廠商在宣傳「電子郵件行銷光碟」的廣告信嗎?下面還可以選購「SMTP郵件伺服器清單供您寄送」就是這個東西。會變成 OPEN RELAY 大多是因網管人員沒將 SMTP 設定為需要認證或限定某些 IP 才允許 Relay 而造成的人為疏失,以 TigerLin 架設的環境中無論是 IIS 的 SMTP 或是其他 third-party 的 server 均會限制可使用的 IP 範圍。會這樣限制的原因是因為曾經發生過 Mail Server 的 Security LOG 一天就衝到了 100 MB (十人的小環境,郵件往來也不多),後來查明是有一些異常來源的 IP 一直在 Try 登入的密碼,造成頻寬浪費與 Server 的負載變大。
- Open Proxy
代理伺服器(Proxy Server)可透過HTTP連接任意的TCP埠,如果不限制連線來源的TCP埠或服務對象範圍,可能會被濫用,例如連至郵件伺服器的25埠作為中繼站,建立SMTP或Telnet等服務傳送特定指令,即可發出大量垃圾信,甚至攻擊內部網路。 (現在應該已經幾乎沒有這樣的風險了,當然...人為的不再此計算了)
- 感染病蟲/惡意程式
早期的病毒會使用系統內的通訊錄以自己的名義寄發病毒附檔,剛好又遇到寬頻起飛的年代讓電腦整天掛在網路上的人越來越多,病毒郵件的傳遞也是很多,是 2000 – 2003 年之間很流行的傳染方式。還記得tt當年收過「富太太病毒」呢...內文大概是說一個寂寞的有錢少婦無聊所以自拍之類的... TigerLin 很多朋友開了之後都被這位「富太太」給感染或刪除了檔案,幸好 TigerLin 的定力夠沒有亂看 (汗)
- 網路遭入侵盜用
TigerLin 想這幾乎都是人為因素造成的吧,系統沒設好、安全性沒更新、中了木馬被竊取 SMTP 認證之類的...文中也提到了如果 Wireless AP 的密碼安全性強度不夠(例如說 WEP,破解只是時間長短的問題,但一般不會太長)也會被盜用,那這樣就算限制可 Relay 的 IP 為內部 IP 也沒用啦~
- 不肖員工的利用
利用公司資源偷發送自己的 CASE?!別懷疑...真的聽過有這樣的事情...下場當然是被公司...
- 發送會員電子報或eDM
這是本文中的例子,發送大量的廣告信,而且還是不請自來的廣告信或會員信!!
- 鄰近網段
池魚之殃,TigerLin 在封鎖 DDoS 攻擊時大多也是採用網段封鎖,因為實在是沒辦法一個一個設定了,乾脆整個 Class 都 Block。
- 先前IP承租者問題
就像買法拍屋買到兇宅一樣=>誰都不想遇到,但偏偏就是遇到了。原本這個 IP 可能已經被 RBL 或其他的廠商自定 RBL 列入黑名單了,恰巧在遷移 ISP 或是 IDC 的時候又用到這個 IP,只能說趕快去買樂透!因為這機率真的是很低 ^^”。
好吧!!林林總總說了那麼多,那到底怎麼樣才能找到病源呢?既然預防已經來不及了,總得說一下為什麼生病了吧?!這裡要介紹的一個 WEB API 工具就是傳說中的 http://OpenRBL.org。
沒有留言:
張貼留言