成航先森 成航先森

成都航院计算机系一个学生的个人记录

 

经验杂笔

最新文章

经验杂笔
当前位置: 首页 » 大学杂谈 » 经验杂笔 » 记录一下对反垃圾邮件的UCEProtect项目的了解

记录一下对反垃圾邮件的UCEProtect项目的了解

编辑:狂族晨曦 来源:经验杂笔 日期:2024-11-15 阅读: 3 次 抢个沙发 百度已收录

最近有客户反馈他们发邮件被拦截了,经过与邮件服务商确认,反馈是发件IP被列入了UCEProtect黑名单,找我们解决。拿到这个问题先森是一脸懵,连忙去搜UCEProtect到底是个什么玩意,但是看搜索结果也只是了解了一个大概,不知道客户的问题是否与我们有关,最终还是找到了解反滥用的同学,才对UCEProtect有了一些了解,这里大概记录一下。

首先是一些概念性的东西,Anti-abuse(反滥用)是公有云服务提供商对其名下IP网段资源进行管控和治理的综合工作,旨在保护其网络服务和资源的reputation(名誉),而Anti-spam(反垃圾邮件)是anti-abuse工作的一部分,其中UCEProtect就是第三方anti-spam服务提供商/平台之一,其他类似的还有Spamhaus、Spamcop和MAPS联盟旗下的TrendMicro等。

黑名单查询

官网查询黑名单 -1

官网查询黑名单

在UCEProtect的官网首页点击“Test and remove listings.”即可进入到IP/ASN的查询界面,在这里可以输入IP进行查询,可以通过查询结果判断黑名单情况。

UCEProtect的黑名单有3个等级,level1到3,其中,level1是针对IP的黑名单,level2是针对该IP所属的IP段的黑名单,level3是针对该IP所属服务商(ASN)的黑名单,只要上了任意级别的黑名单,发邮件就会受到影响,而看UCEProtect的说明,如果是level2和level3的黑名单,他们建议用户向供应商投诉或者选择其他供应商。

案例分析

概念性的东西挺多,还是拿案例来分析才能更好理解。

在知乎上看到有人发了一个使用的IP,先森就拿这个IP做分析:https://www.uceprotect.net/en/rblcheck.php?ipr=61.135.130.240

level1分析

IP查询案例 -2

IP查询案例

首先是看level1这部分,除非是该IP真的有发送垃圾邮件,不然一般情况下这个等级中的status都是“NOT LISTED(未列出)”,也就是没有在黑名单中,网站也有颜色提醒,绿色表示没问题。

右边有个橙色的风险,提示DNS有高风险。这个是因为UCEProtect会去查该IP的PTR(反向地址解析)记录(上图第3部分),然后再通过反查获取到的域名去查询A记录,判断域名的A记录IP是否与查询IP相同,如果不相同,就会存在这个风险。

PTR查询方式:Windows使用nslookup IP命令,Linux可以用dig -x IP命令。

PTR查询 -3

PTR查询

如果level1这部分status为“LISTED”,背景为红色,那么就是上黑名单了,一般情况下,level1这个级别的黑名单会在最后一次发现滥用的7天后自动删除。有些业务会认为7天时间太长了,需要赶紧解除黑名单,UCEProtect有提供“快速退出”服务,这个需要给钱,但由于先森这边没有level1级别的黑名单IP案例,所以先森不知道level1级别是否有提供“快速退出”服务。

level2分析

level2黑名单分析 -4

level2黑名单分析

level2这部分就可以看到,status这部分有个16的网段处于黑名单中(标签①),且提供了“快速退出”服务(标签③),根据UCEProtect的描述,“快速退出”服务是由第三方服务商提供的,所以无法免费。先森看了一下,level2级别黑名单快速退出服务需要支付249CHN瑞士法郎(约为2040元),level3需要449CHN瑞士法郎(约3678元),这个钱,看起来是谁都可以支付,但是UCEProtect的建议是联系服务商,让服务商处理,或者干脆更换服务商。

那么是怎么进入的黑名单呢,主要就是看上图标签②部分。

“Impacts in this net within the last 7 days”直译过来是“过去7天内对该网络的影响”,看了一下UCEProtect对level2的策略,这个大概就是过去7天内,该网段内检测到了多少垃圾邮件,而在这一项的左侧有一项“Level 1 listed abusers within the last 7 days”,就是过去7天内有多少个Level 1黑名单IP,这些IP可能产生了大量的垃圾邮件。

“Level 2 Escalation limit by Impacts”直译过来“2级影响升级限制”,这个就是是否上黑名单的阈值了。用图中的案例来说,这个值是96,而“Impacts in this net within the last 7 days”的值是252,远远大于96,所以61.135.0.0/16网段就上黑名单了,要降下来就需要将252这个值降低到96以内。

level3

level3黑名单分析 -5

level3黑名单分析

level3级就是IP服务商的黑名单了,黑名单的规则实际上是比较复杂的,但就使用者而言,我们只需要关注他的Status状态,再了解一下距离脱离黑名单或上黑名单有多远即可。

level3与level2类似,比对的是“Impacts from Level 1”和“Level 3 Escalation limit by Impacts”的值,“Level 3 Escalation limit by Impacts ”是阈值,“Impacts from Level 1”的值超过该值那就上黑名单,低于该值则会自动免费删除(看说明应该是不用等7天)。

level3还有一个Spamscore垃圾邮件分数的值,看文档该值的计算公式为(Level 1 impacts from this ASN / total IPs in this ASN) * 100000,即该ASN的level1影响数除以该ASN的IP总数,再乘以10万,UCEProtect认为好的服务商应该保持SPAMSCORE在10以下。

状态等级

黑名单的状态等级 -6

黑名单的状态等级

虽然只需要关心3个等级中是否已经上黑名单,即status是否为红色LISTED,绿色的“NOT LISTED”表示没有问题,但是status除此之外还有一些其他的情况。先森看了一下,没有找到相关的文档,上面也说了,这个状态和检测到的垃圾邮件情况(影响)与阈值的占比有关,先森自己测算了一下,各种状态的情况大概如下

status背景颜色影响/阈值的占比
NOT LISTED绿色0
ATTENTION Increased Listingrisk黄色(0,50%)
WARNING High Listingrisk橙色[50%,75%)
ALERT Extreme Listingrisk淡红色[75%,100%)
LISTED大红色[100%,+∞)

最后

从业几年以来,这个情况先森还是第一次遇到,不知道以后能不能遇到,但是做个记录吧,没事的时候拿出来看看。

历史上的今天:

标签:
除特别注明外,本站所有文章均为成航先森 www.capjsj.cn 原创,本文共2708个字
转载请注明出处来自https://www.capjsj.cn/uceprotect.html
已有 0 位"计工"发布了激烈的评论,还有N多人围观笑而不语评论
的头像
欢迎发表评论
取消评论

表情
疑问调皮伤心抠鼻黑线微笑可爱奸笑震惊吓到了撇嘴大兵忍不住笑笑狂骂狂怒噢?鼓掌酷⊙﹏⊙b汗鄙视大哭嘿嘿

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
官方微信
发表评论 返回顶部