Tổng lượt truy cập

Friday, November 4, 2011

Nếu một ngày mail bị đưa vào blacklist Bạn xử lý thế nào?

Nếu một ngày mail của cơ quan bạn tự nhiên bị đưa vào blacklist thì bạn sẽ giải quyết thế nào?
tôi xin hướng dẫn bạn các nguyên nhân và cách xử lý khi mail của tổ chức bạn bị đưa vào blacklist. Đây là kinh nghiệm thực tế tôi đã gặp và rút ra tài liệu đầy đủ

Nguyên nhân
- Mail Client:
  • Do việc đóng gói (format) của mail client dẫn đến các mail server khác cho là spam
  • Trong nội dung mail có chèn nhiều ảnh và nội dung có thể bị coi là spam. Ví dụ trong mail chèn ActiveX, flash, javascript …

- Thiếu bản ghi ngược (reverse DNS) cho mail server:

  • Cấu hình mail server không chặt chẽ (không xác thực, để Open Relay) dẫn đến mail server có thể bị lợi dụng để phát tán spam

- Có mã độc trong hệ thống

  • Máy tính khác bị nhiễm virus, tự gửi email ra ngoài dưới dạng spam, dùng chung địa chỉ với mail server dẫn đến địa chỉ của Mail Server bị block lại

- Không có bản ghi MX
  • Thiếu bản ghi Mail có thể bị một số Mail Server Filter

- Dùng IP động cho Mail Server
  • Mỗi lần Mail Server phân dải lại ra 1 IP khác nhau, dẫn đến bị xem là 1 dạng spam

- Gửi mail đến các địa chỉ mail không có thật

  • Việc gửi mail đến các địa chỉ mail không có thật bị xem là 1 hành vi của spam

- Đường truyền sử dụng cho Mail Server
Đường truyền sử dụng cho Mail Server nếu đồng thời được sử dụng cho người dùng ra Internet có thể dẫn đến máy tính người dùng bị nhiễm mã độc phát tán spam ra ngoài và IP bị block lại.
Hướng dẫn kiểm tra với MXtoolbox
Một số cách thức để đưa mail server ra khỏi blacklis
Để đưa mail server ra khỏi blacklist trước tiên chúng ta phải xử lý các nguyên nhân khiến mail server bị liệt vào blacklist, sau đó liên hệ với nhà cung cấp báo để họ gỡ bỏ mail server của chúng ta ra khỏi Blacklist.

Xử lý các nguyên nhân dẫn đến tình trạng IP bị liệt vào Blacklist

Các bước xử lý khi hệ thống mail server của cơ quan/doanh nghiệp bị spam và bị liệt vào Blacklist cần xử lý theo 2 bước cơ bản sau:

Bước 1: Xử lý phía bên trong mạng nội bộ

  • Sử dụng công cụ để kiểm tra và phát hiện xem có máy tính nội bộ nào phát tán spam trực tiếp ra ngoài Internet hay không. Ở đây chúng ta sử dụng kết hợp phần mềm Cain và phần mềm Wireshark để tìm ra máy tính phát tán spam nếu có.
  • Trước tiên dùng một máy tính giám sát trong mạng được cài đặt 2 phần mềm cain và wireshark, sử dụng phần mềm cain tiêm nhiễm khiến các máy tính khác bên trong mạng sử dụng địa chỉ IP của máy tính giám sát làm default gateway
  • Sau đó sử dụng phần mềm wireshark để giám sát tất cả các luồng thông tin bên trong mạng ra ngoài Internet đi qua card mạng của máy tính giám sát trên. Ghi lại log wireshark vào thời điểm mà tất cả các máy tính trong hệ thống mạng của cơ quan đều hoạt động.
  • Phân tích file log, để phát hiện máy tính trong LAN phát tán SMTP trực tiếp ra ngoài mạng. Cô lập máy tính đó và thực hiện các biện pháp xử lý.
  • Để tránh spam trực tiếp từ Lan ra ngoài Internet. Trên firewall thực hiện cấu hình hướng luồng dữ liệu SMTP đi qua Mail Server rồi sau đó mới ra Internet.
Bước 2: Xử lý phía máy chủ mail
  • Kiểm tra Mail Server:
    • Kiểm tra Mail Server xem có lỗi cấu hình hay không.
    • Kiểm tra DNS cho Mail Server:
      • Kiểm tra bảng ghi DNS ngược. Bản ghi DNS có vai trò quan trọng trong việc gửi và nhận mail. Sau khi nhận được gói tin gửi đến, bản ghi DNS ngược sẽ thực hiện việc xác thực xem gói tin được gửi đến có tin cậy hay không, nếu tin cậy sẽ thực hiện bước tiếp theo, nếu không thì đưa đưa vào danh sách blicklist và coi gói tin đó là spam. Do đó cần cấu hình bản ghi ngược cho mail server.
Liên hệ với nhà cung cấp đề nghị họ gỡ bỏ IP ra khỏi blacklist
Sau khi đảm bảo xử lý xong các nguyên nhân khiến IP bị liệt vào Blacklist như phần 3.4.1, để gỡ bỏ địa chỉ IP ra khỏi blacklist ta cần liên hệ với các nhà cung cấp để họ gỡ bỏ giúp IP ra khỏi Blacklist. Dưới đây là một số cách liên hệ với các nhà cung cấp để đưa IP ra khỏi blacklist:

Mail Server
Cách đưa khỏi blacklist
Mail Yahoo
  1. Liên hệ với Yahoo:
  1. Liên hệ với Yahoo VN
  2. Áp dụng DomainKeys và DKIM (DomainKeys Identified Mail) là kỹ thuật xác thực Yahoo sử dụng để lọc spam
  3. Lấy certificate của 1 nơi uy tín http://www.senderscorecertified.com/about/
Hotmail
  1. Liên hệ với Hotmail:
  1. Gắp mail từ Bulk Box sang Inbox: Hotmail sử dụng SmartScreen Filter (do MicroSoft phát triển). Hệ thống này rất coi trọng phản ảnh của người dùng.
  2. Áp dụng SPF (Sender Policy Framework), sau khi setup xong cần thông báo đến MicroSoft tại senderid@microsoft.com. Chú ý cần ghi rõ domain của mình trong nội dung email.
  3. Lấy certificate của 1 nơi uy tín http://www.senderscorecertified.com/about/
Gmail
  1. Liên hệ Postmaster của Gmail: postmaster@gmail.com
  2. Chuyển mail từ Spam box sang Inbox
  3. Remove IP khỏi các blacklist thông dụng
  4. Áp dụng SPF, DomainKeys, DKIM
TrendMicro Mail Filter
  1. Liên hệ với TrendMicro tại http://www.mail-abuse.com/
  2. Trends chặn toàn bộ các mail server có địa chỉ IP động, để có thể sử dụng IP động làm địa chỉ mail server cần có xác nhận của Postmaster của ISP quản lý dải IP đó.


Kiểm tra mail blacklist

Địa chỉ
Tính năng
  • MX Lookup
  • Blacklists
  • SMTP Diagnostics
  • Email Header Analyzer
  • SPF Records
  • Email Server Monitoring
  • Blacklists
  • Reverse-DNS
  • Blacklists
  • Reverse DNS Check
  • Blacklists

  • Lookup
  • Whois
  • DNS Records
  • Spam Blacklist Check
  • Email Verfication

  • Spam Blacklist Check
  • Email Verfication