最近有客户反馈他们发邮件被拦截了,经过与邮件服务商确认,反馈是发件IP被列入了UCEProtect黑名单,找我们解决。拿到这个问题先森是一脸懵,连忙去搜UCEProtect到底是个什么玩意,但是看搜索结果也只是了解了一个大概,不知道客户的问题是否与我们有关,最终还是找到了解反滥用的同学,才对UCEProtect有了一些了解,这里大概记录一下。
首先是一些概念性的东西,Anti-abuse(反滥用)是公有云服务提供商对其名下IP网段资源进行管控和治理的综合工作,旨在保护其网络服务和资源的reputation(名誉),而Anti-spam(反垃圾邮件)是anti-abuse工作的一部分,其中UCEProtect就是第三方anti-spam服务提供商/平台之一,其他类似的还有Spamhaus、Spamcop和MAPS联盟旗下的TrendMicro等。
黑名单查询
官网查询黑名单
在UCEProtect的官网首页点击“Test and remove listings.”即可进入到IP/ASN的查询界面,在这里可以输入IP进行查询,可以通过查询结果判断黑名单情况。
UCEProtect的黑名单有3个等级,level1到3,其中,level1是针对IP的黑名单,level2是针对该IP所属的IP段的黑名单,level3是针对该IP所属服务商(ASN)的黑名单,只要上了任意级别的黑名单,发邮件就会受到影响,而看UCEProtect的说明,如果是level2和level3的黑名单,他们建议用户向供应商投诉或者选择其他供应商。
案例分析
概念性的东西挺多,还是拿案例来分析才能更好理解。
在知乎上看到有人发了一个使用的IP,先森就拿这个IP做分析:https://www.uceprotect.net/en/rblcheck.php?ipr=61.135.130.240
level1分析
IP查询案例
首先是看level1这部分,除非是该IP真的有发送垃圾邮件,不然一般情况下这个等级中的status都是“NOT LISTED(未列出)”,也就是没有在黑名单中,网站也有颜色提醒,绿色表示没问题。
右边有个橙色的风险,提示DNS有高风险。这个是因为UCEProtect会去查该IP的PTR(反向地址解析)记录(上图第3部分),然后再通过反查获取到的域名去查询A记录,判断域名的A记录IP是否与查询IP相同,如果不相同,就会存在这个风险。
PTR查询方式:Windows使用nslookup IP命令,Linux可以用dig -x IP命令。
PTR查询
如果level1这部分status为“LISTED”,背景为红色,那么就是上黑名单了,一般情况下,level1这个级别的黑名单会在最后一次发现滥用的7天后自动删除。有些业务会认为7天时间太长了,需要赶紧解除黑名单,UCEProtect有提供“快速退出”服务,这个需要给钱,但由于先森这边没有level1级别的黑名单IP案例,所以先森不知道level1级别是否有提供“快速退出”服务。
level2分析
level2黑名单分析
level2这部分就可以看到,status这部分有个16的网段处于黑名单中(标签①),且提供了“快速退出”服务(标签③),根据UCEProtect的描述,“快速退出”服务是由第三方服务商提供的,所以无法免费。先森看了一下,level2级别黑名单快速退出服务需要支付249CHN瑞士法郎(约为2040元),level3需要449CHN瑞士法郎(约3678元),这个钱,看起来是谁都可以支付,但是UCEProtect的建议是联系服务商,让服务商处理,或者干脆更换服务商。
那么是怎么进入的黑名单呢,主要就是看上图标签②部分。
“Impacts in this net within the last 7 days”直译过来是“过去7天内对该网络的影响”,看了一下UCEProtect对level2的策略,这个大概就是过去7天内,该网段内检测到了多少垃圾邮件,而在这一项的左侧有一项“Level 1 listed abusers within the last 7 days”,就是过去7天内有多少个Level 1黑名单IP,这些IP可能产生了大量的垃圾邮件。
“Level 2 Escalation limit by Impacts”直译过来“2级影响升级限制”,这个就是是否上黑名单的阈值了。用图中的案例来说,这个值是96,而“Impacts in this net within the last 7 days”的值是252,远远大于96,所以61.135.0.0/16网段就上黑名单了,要降下来就需要将252这个值降低到96以内。
level3
level3黑名单分析
level3级就是IP服务商的黑名单了,黑名单的规则实际上是比较复杂的,但就使用者而言,我们只需要关注他的Status状态,再了解一下距离脱离黑名单或上黑名单有多远即可。
level3与level2类似,比对的是“Impacts from Level 1”和“Level 3 Escalation limit by Impacts”的值,“Level 3 Escalation limit by Impacts ”是阈值,“Impacts from Level 1”的值超过该值那就上黑名单,低于该值则会自动免费删除(看说明应该是不用等7天)。
level3还有一个Spamscore垃圾邮件分数的值,看文档该值的计算公式为(Level 1 impacts from this ASN / total IPs in this ASN) * 100000,即该ASN的level1影响数除以该ASN的IP总数,再乘以10万,UCEProtect认为好的服务商应该保持SPAMSCORE在10以下。
状态等级
黑名单的状态等级
虽然只需要关心3个等级中是否已经上黑名单,即status是否为红色LISTED,绿色的“NOT LISTED”表示没有问题,但是status除此之外还有一些其他的情况。先森看了一下,没有找到相关的文档,上面也说了,这个状态和检测到的垃圾邮件情况(影响)与阈值的占比有关,先森自己测算了一下,各种状态的情况大概如下
status | 背景颜色 | 影响/阈值的占比 |
NOT LISTED | 绿色 | 0 |
ATTENTION Increased Listingrisk | 黄色 | (0,50%) |
WARNING High Listingrisk | 橙色 | [50%,75%) |
ALERT Extreme Listingrisk | 淡红色 | [75%,100%) |
LISTED | 大红色 | [100%,+∞) |
最后
从业几年以来,这个情况先森还是第一次遇到,不知道以后能不能遇到,但是做个记录吧,没事的时候拿出来看看。
历史上的今天:
转载请注明出处来自https://www.capjsj.cn/uceprotect.html