Zdravím a rád bych požádal o radu v záležitosti, která nás již delší dobu trápí.
Naše organizace, Římskokatolická farnost Cheb, má pro svoji farní knihovnu v rámci "Projektu internetizace knihoven" zřízenu službu "Data P1/C" od O2. Na vstupním routeru Prestige 650RE3 je připojena místní počítačová síť, která má IP adresu 80.188.41.127. Tato adresa se z neznámých důvodů opakovaně dostává na antispamové blacklisty (viz např. http://www.blacklistalert.org/?q=80.188.41.127) a naše pošta, kterou pomocí Outlook 2007 posíláme přes SMTP server našeho poskytovatele (relay.iol.cz) je blokována některými mailovými servery (především je to akutní na Seznam.cz), které pro filtraci spamu tyto blacklisty používají.
Po intenzivní spolupráci s firmou, která instalovala a spravuje naši síť, můžeme konstatovat, že všechny naše počítače jsou čisté. Navíc jsme učinili experiment, který by toto konstatování měl stoprocentně potvrdit: Na víkend jsme celou naši síť natvrdo fyzicky odpojili od internetu, přičemž před tím jsme požádali o výmaz či učinili ruční výmaz z některých toto umožňujících blacklistů. Během tohoto víkendu jsme se však na několika z těchto blacklistů opět objevili jako šiřitelé spamu!
Nyní nám naše počítačová firma pro jistotu ještě na výstup sítě nainstalovala D-Link DIR 100, na kterém zablokovala Port 25 a zároveň zde nechala běžet log pro zjištění případných pokusů se na tento Port připojit a odesílat nějakou havěť.
Ačkoli je takto naše síť pro SMTP komunikaci zablokována již od čtvrtka 17. 4. 2008 a ačkoli se na zmíněném logu od té doby žádné pokusy použít Port 25 neobjevily, na několika blacklistech se naše IP adresa obět během pátku 18. 4. 2008 objevila jako šiřitel spamu.
Zde jsou konkrétní příklady:
[code] CBL http://cbl.abuseat.org/lookup.cgi?ip=80.188.41.127
IP Address 80.188.41.127 is currently listed in the CBL.
It was detected at 2008-04-18 15:00 GMT (+/- 30 minutes), approximately 7 hours ago.
It has been relisted following a previous removal at 2008-04-18 08:02 GMT
ATTENTION: This IP is infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating in a botnet.
Manitu http://www.dnsbl.manitu.net/lookup.php?value=80.188.41.127
The IP address 80.188.41.127 is listed in ix.dnsbl.manitu.net because of receiving spam from there via mail2.i-t-partner.de at 2008-04-18 17:18:09+0200 and will be removed within about 72 hours after the last spam email has been detected.
WPBL http://www.wpbl.info/cgi-bin/detail.cgi?ip=80.188.41.127
Record detail for 80.188.41.127
uid Timestamp Good seen Spam seen
1942 2008-04-18 13:37:19 0 1
psblsuriel http://psbl.surriel.com/listing?ip=80.188.41.127
2008-04-18 07:11:50.877329 received spamtrap mail
2008-04-18 07:11:52.198711 received spamtrap mail
2008-04-18 07:11:52.976792 received spamtrap mail
2008-04-18 07:11:56.798115 received spamtrap mail
2008-04-18 07:11:57.813663 received spamtrap mail
2008-04-18 07:11:58.935725 received spamtrap mail
2008-04-18 07:11:59.413199 received spamtrap mail
2008-04-18 07:11:59.472132 received spamtrap mail
2008-04-18 07:12:00.273582 received spamtrap mail[/code]Z posledně jmenovaného blacklistu bylo možné stáhnout i konkrétní podobu jím zachycených spamů (připojuji níže).
Je nějakým způsobem vůbec možné, aby IP adresa, na které je blokován Port 25 (nebo která je dokonce natvrdo odpojena od sítě) byla takto spamově "aktivní"?
Velmi budeme vděčni za jakoukoli radu, protože nám (i našim odborným poradcům) nad touto situací již zůastává rozum stát.
S pozdravem
Petr Hruška
spolufarář Řk farnosti Cheb
www.farnostcheb.cz
PS: Níže připojuji zmíněný log spamů z naší IP adresy zachycených na psbl.surriel.com v době, kdy jsme již 20 hodin před tím měli zablokován Port 25:
[code] From [EMAIL="laitinie1956@FLASHWEBSITE.COM"]laitinie1956@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:32 2008
Delivery-date: Fri, 18 Apr 2008 07:02:32 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from)
id 1JmoMS-00011v-27
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:32 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:29 +0200
Subject: Techniques to cumming back to back
From: Romines
To: "victim@smtp.example"
Thread-Topic: Techniques to cumming back to back
Thread-Index: AcihVHU5r54FDKDYRyWHTIJeV8+2lQ==
Mime-version: 1.0
boundary="B_5425457012_72099"
--B_5425457012_72099
charset="US-ASCII"
Make her happy with your new giant gun http://www.bueahtniij.com
--B_5425457012_72099
charset="US-ASCII"
Techniques to cumming back to back
Make her happy with your new giant gun http://www.poweoie.com
--B_7011570723_91388--
From [EMAIL="lalgebra_1953@FLASHWEBSITE.COM"]lalgebra_1953@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:25 2008
Delivery-date: Fri, 18 Apr 2008 07:02:25 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from)
id 1JmoMK-0000zV-Og
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:25 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:22 +0200
Subject: Make her yours today
From: Hudson
To: "victim@smtp.example"
Thread-Topic: Make her yours today
Thread-Index: AcihVHDbjj2OX5g2TzO+hkqq5jZ8yg==
Mime-version: 1.0
boundary="B_6378151946_27630"
--B_6378151946_27630
charset="US-ASCII"
Make her happy with your new giant gun http://www.posejaang.com
--B_6378151946_27630
charset="US-ASCII"
Make her yours today
Make her happy with your new giant gun http://www.buettek.com
--B_4753030504_08170--
From k{ytt|ar_1986@FLASHWEBSITE.COM Fri Apr 18 07:02:23 2008
Delivery-date: Fri, 18 Apr 2008 07:02:23 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from)
id 1JmoMI-0000zV-RU
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:23 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:20 +0200
Subject: Make her yours today
From: Zhaopin
To: "victim@smtp.example"
Thread-Topic: Make her yours today
Thread-Index: AcihVG+64xHPVMCnSgCF/VBYdrAi4g==
Mime-version: 1.0
boundary="B_2089175758_20691"
--B_2089175758_20691
charset="US-ASCII"
She will achieve pleasure easily when you are this big http://www.bueahtniij.com
--B_2089175758_20691
charset="US-ASCII"
Make her yours today
She will achieve pleasure easily when you are =
this big http://www.poreeajg.com
--B_3810381346_92858--
From [EMAIL="lag-bed@FLASHWEBSITE.COM"]lag-bed@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:21 2008
Delivery-date: Fri, 18 Apr 2008 07:02:21 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from)
id 1JmoMH-0000zV-0m
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:21 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:18 +0200
Subject: Blow her away with this
From: onkar
To: "victim @ smtp.example"
Thread-Topic: Blow her away with this
Thread-Index: AcihVG6fyqBnH5t2TiuTwS5McFRkAA==
Mime-version: 1.0
boundary="B_9844623527_44374"
--B_9844623527_44374
charset="US-ASCII"
Make her happy with your new giant gun http://www.piikeaig.com
--B_9844623527_44374
charset="US-ASCII"
Blow her away with this
Make her happy with your new giant gun http://www.nuueitao.com
--B_4376241950_84422--[/code]
Naše organizace, Římskokatolická farnost Cheb, má pro svoji farní knihovnu v rámci "Projektu internetizace knihoven" zřízenu službu "Data P1/C" od O2. Na vstupním routeru Prestige 650RE3 je připojena místní počítačová síť, která má IP adresu 80.188.41.127. Tato adresa se z neznámých důvodů opakovaně dostává na antispamové blacklisty (viz např. http://www.blacklistalert.org/?q=80.188.41.127) a naše pošta, kterou pomocí Outlook 2007 posíláme přes SMTP server našeho poskytovatele (relay.iol.cz) je blokována některými mailovými servery (především je to akutní na Seznam.cz), které pro filtraci spamu tyto blacklisty používají.
Po intenzivní spolupráci s firmou, která instalovala a spravuje naši síť, můžeme konstatovat, že všechny naše počítače jsou čisté. Navíc jsme učinili experiment, který by toto konstatování měl stoprocentně potvrdit: Na víkend jsme celou naši síť natvrdo fyzicky odpojili od internetu, přičemž před tím jsme požádali o výmaz či učinili ruční výmaz z některých toto umožňujících blacklistů. Během tohoto víkendu jsme se však na několika z těchto blacklistů opět objevili jako šiřitelé spamu!
Nyní nám naše počítačová firma pro jistotu ještě na výstup sítě nainstalovala D-Link DIR 100, na kterém zablokovala Port 25 a zároveň zde nechala běžet log pro zjištění případných pokusů se na tento Port připojit a odesílat nějakou havěť.
Ačkoli je takto naše síť pro SMTP komunikaci zablokována již od čtvrtka 17. 4. 2008 a ačkoli se na zmíněném logu od té doby žádné pokusy použít Port 25 neobjevily, na několika blacklistech se naše IP adresa obět během pátku 18. 4. 2008 objevila jako šiřitel spamu.
Zde jsou konkrétní příklady:
[code] CBL http://cbl.abuseat.org/lookup.cgi?ip=80.188.41.127
IP Address 80.188.41.127 is currently listed in the CBL.
It was detected at 2008-04-18 15:00 GMT (+/- 30 minutes), approximately 7 hours ago.
It has been relisted following a previous removal at 2008-04-18 08:02 GMT
ATTENTION: This IP is infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating in a botnet.
Manitu http://www.dnsbl.manitu.net/lookup.php?value=80.188.41.127
The IP address 80.188.41.127 is listed in ix.dnsbl.manitu.net because of receiving spam from there via mail2.i-t-partner.de at 2008-04-18 17:18:09+0200 and will be removed within about 72 hours after the last spam email has been detected.
WPBL http://www.wpbl.info/cgi-bin/detail.cgi?ip=80.188.41.127
Record detail for 80.188.41.127
uid Timestamp Good seen Spam seen
1942 2008-04-18 13:37:19 0 1
psblsuriel http://psbl.surriel.com/listing?ip=80.188.41.127
2008-04-18 07:11:50.877329 received spamtrap mail
2008-04-18 07:11:52.198711 received spamtrap mail
2008-04-18 07:11:52.976792 received spamtrap mail
2008-04-18 07:11:56.798115 received spamtrap mail
2008-04-18 07:11:57.813663 received spamtrap mail
2008-04-18 07:11:58.935725 received spamtrap mail
2008-04-18 07:11:59.413199 received spamtrap mail
2008-04-18 07:11:59.472132 received spamtrap mail
2008-04-18 07:12:00.273582 received spamtrap mail[/code]Z posledně jmenovaného blacklistu bylo možné stáhnout i konkrétní podobu jím zachycených spamů (připojuji níže).
Je nějakým způsobem vůbec možné, aby IP adresa, na které je blokován Port 25 (nebo která je dokonce natvrdo odpojena od sítě) byla takto spamově "aktivní"?
Velmi budeme vděčni za jakoukoli radu, protože nám (i našim odborným poradcům) nad touto situací již zůastává rozum stát.
S pozdravem
Petr Hruška
spolufarář Řk farnosti Cheb
www.farnostcheb.cz
PS: Níže připojuji zmíněný log spamů z naší IP adresy zachycených na psbl.surriel.com v době, kdy jsme již 20 hodin před tím měli zablokován Port 25:
[code] From [EMAIL="laitinie1956@FLASHWEBSITE.COM"]laitinie1956@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:32 2008
Delivery-date: Fri, 18 Apr 2008 07:02:32 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from
id 1JmoMS-00011v-27
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:32 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:29 +0200
Subject: Techniques to cumming back to back
From: Romines
To: "victim@smtp.example"
Thread-Topic: Techniques to cumming back to back
Thread-Index: AcihVHU5r54FDKDYRyWHTIJeV8+2lQ==
Mime-version: 1.0
boundary="B_5425457012_72099"
--B_5425457012_72099
charset="US-ASCII"
Make her happy with your new giant gun http://www.bueahtniij.com
--B_5425457012_72099
charset="US-ASCII"
Make her happy with your new giant gun http://www.poweoie.com
--B_7011570723_91388--
From [EMAIL="lalgebra_1953@FLASHWEBSITE.COM"]lalgebra_1953@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:25 2008
Delivery-date: Fri, 18 Apr 2008 07:02:25 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from
id 1JmoMK-0000zV-Og
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:25 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:22 +0200
Subject: Make her yours today
From: Hudson
To: "victim@smtp.example"
Thread-Topic: Make her yours today
Thread-Index: AcihVHDbjj2OX5g2TzO+hkqq5jZ8yg==
Mime-version: 1.0
boundary="B_6378151946_27630"
--B_6378151946_27630
charset="US-ASCII"
Make her happy with your new giant gun http://www.posejaang.com
--B_6378151946_27630
charset="US-ASCII"
Make her happy with your new giant gun http://www.buettek.com
--B_4753030504_08170--
From k{ytt|ar_1986@FLASHWEBSITE.COM Fri Apr 18 07:02:23 2008
Delivery-date: Fri, 18 Apr 2008 07:02:23 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from
id 1JmoMI-0000zV-RU
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:23 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:20 +0200
Subject: Make her yours today
From: Zhaopin
To: "victim@smtp.example"
Thread-Topic: Make her yours today
Thread-Index: AcihVG+64xHPVMCnSgCF/VBYdrAi4g==
Mime-version: 1.0
boundary="B_2089175758_20691"
--B_2089175758_20691
charset="US-ASCII"
She will achieve pleasure easily when you are this big http://www.bueahtniij.com
--B_2089175758_20691
charset="US-ASCII"
She will achieve pleasure easily when you are =
this big http://www.poreeajg.com
--B_3810381346_92858--
From [EMAIL="lag-bed@FLASHWEBSITE.COM"]lag-bed@FLASHWEBSITE.COM[/EMAIL] Fri Apr 18 07:02:21 2008
Delivery-date: Fri, 18 Apr 2008 07:02:21 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from
id 1JmoMH-0000zV-0m
for [EMAIL="victim@smtp.exam"]victim@smtp.exam[/EMAIL]ple; Fri, 18 Apr 2008 07:02:21 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:18 +0200
Subject: Blow her away with this
From: onkar
To: "victim @ smtp.example"
Thread-Topic: Blow her away with this
Thread-Index: AcihVG6fyqBnH5t2TiuTwS5McFRkAA==
Mime-version: 1.0
boundary="B_9844623527_44374"
--B_9844623527_44374
charset="US-ASCII"
Make her happy with your new giant gun http://www.piikeaig.com
--B_9844623527_44374
charset="US-ASCII"
Make her happy with your new giant gun http://www.nuueitao.com
--B_4376241950_84422--[/code]
Presne rovnaký problém som riešil v dobe, keď som používal mobilný internet od jedného slovenského operátora (cca pred 2 rokmi). Po opakovaných urgenciách operátor problém vyriešil. Problém bol v tom, že ip adresy sú prideľované dynamicky a postupne sa všetky( alebo väčšina) dostali na black list. Takže vo vašom prípade by som sa s problémom obrátil na poskytovateľa, t.j. na O2
Nj, ale on pise, ze maji pridelene IPcko 80.188.41.127... Pokud je tomu tak, tak maji dynamickou adresu - pak se neni cemu divit. Spammer se pripoji, dostene IPcko, odesle svuj "naklad", odpoji se a znovu se pripoji - dostane tak nove, dalsi IP a pokracuje. A uzivatel, ktery dostane po nem pak tu IP adresu logicky zjisti, ze ma banan... :)
Ale pokud maji opravdu tu statickou, pak je to problem a bude to chtit trpelive resit s spravi blacklistu a trpelive jim opakovane a opakovane vysvetlovat a zadat aby ukazali, na zaklade ceho IPcko 80.188.41.127 zabanovali.
Jedine tak se to (snad) vyresi. Casem :)
Ale pokud maji opravdu tu statickou, pak je to problem a bude to chtit trpelive resit s spravi blacklistu a trpelive jim opakovane a opakovane vysvetlovat a zadat aby ukazali, na zaklade ceho IPcko 80.188.41.127 zabanovali.
Jedine tak se to (snad) vyresi. Casem :)
Ahoj, mohli byste taky zkusit požádat O2 o změnu poskytnuté IP adresy jako reklamaci - ta IP adresa co jste dostali zjevně nefunguje tak jak by měla... Když to budete mít dost dobře zdokumentovaný, tak by to mohlo projít - ale byl by to boj. Taky bych se bejt váma podíval na okolní IP adresy - dost často se stává, že když od někud chodí spam, tak se správci blacklistnou celej rozsah IPček - ikdyž to by tendle případ bejt neměl, když máte přímo záznam, že to přišlo od Vás. Ale výměna IP adresy je podle mě nejlepší řešení (jde jen o to si to vydupat na O2). Matyáš
Děkuji za všechny reakce a rady. Zatím se naše pátrání posunulo právě vámi naznačovaným směrem a vstoupili jsme do jednání s o2. Když jsem totiž tu "naši" (zcela jistě statickou) IP adresu zadal do Googlu, přišel jsem na to, kolik jiných uživatelů ji také používá. Po telefonickém kontaktu s technikem o2 to vypadá tak, že "projetk internetizace knihoven" používá ještě jakousi vnitřní síť v rámci "governmetn internetu", kde na nějakém centrálním routeru je ta "naše" IP adresa společná ještě pro další účastníky projektu. Takže nějaký PC v obecní knihovně ve Zlámané Lhotě si klidně spamuje a my za to dostáváme na frak... :-(
Vyzvali my, abych jim to vše poslal mailem a že to předají správcům té vládní sítě, kteří to prý "jistě vyřeší". No jsem na to zvědav a ještě jednou dík.
Vyzvali my, abych jim to vše poslal mailem a že to předají správcům té vládní sítě, kteří to prý "jistě vyřeší". No jsem na to zvědav a ještě jednou dík.
