被XBL 了，退离了还继续进去，好闷啊！寻根治

Dennis991 · 发表于 2014-8-10 14:03:31

本帖最后由 Dennis991 于 2014-8-10 14:07 编辑

最近客户的Mail server 固定IP被 spamhaus.org 列入了XBL黑名单，退离了不久又进去。已经帮他全服务器杀毒了还不行。

怀疑是有用户密码被盗，但又不知道具体哪个？查看日志可以吗？怎样才能根治？ SMTP(out) 又见不到有什么可以的信息。

现在他们的用户表现为退信，对方根本收不到。很受影响，如能提供解决的，RMB酬谢。！

备注：符合自建邮件服务器的要求，反解，固定IP。之前是一点事都没有的。！

陆小风 · 发表于 2014-8-12 10:17:52

本帖最后由陆小风于 2014-8-12 10:19 编辑

1、邮件服务器IP尽量不要用于代理上网，因为这样由于用户上网中毒或木马等原因也会列入XBL。
2、确实应该怀疑有用户密码被盗然后用于发送垃圾邮件，这个如果你认真查看一下日志很容易发现的。查日志当然是最好的方法，但累啊，可以查SMTP入看那些用户比较奇怪，一般都是通过外部IP进入，而且多数比较晚，EHLO比较奇怪，收件人比较多等特征。我比较喜欢直接在重试队列里面找，因为垃圾邮件的成功率肯定会低，有好大一部份会到重试队列或者坏队列里，在队列里看是那个用户发送的邮件就比较容易找到原因。
3、你的系统开了自动回复。我之前就由于开启了自动回复导致，比如有人发一封带病毒的邮件给你的用户，服务器检测到带毒或者认为是垃圾邮件，自动回复了发件人，然后也容易会被误进入XBL。
4、还有其它原因，在里就不一一列举了，总之在国内发往国外的邮件会被退信的原因有很多，列入XBL只是其中一个比较常见的，具体还得看日志才能找问题。听说有RMB酬谢，如果有需要可以PM我。

山坛兄弟 · 发表于 2014-8-12 21:36:20

楼上说的不错，有邮件队列，退信，发信时间等等可以发现问题的

longfore · 发表于 2014-8-13 11:23:22

在解封的网站有提示是被列黑名单原因，可以参考他的说法。

Dennis991 · 发表于 2014-8-14 20:51:03

本帖最后由 Dennis991 于 2014-8-14 21:03 编辑

向大家报告一下，

1）申请了另外一个ISP的固定IP地址（中国*通），进行了反解，绑定什么的，双ISP固定IP利用DNSPOD组合成双线接入，路由器将所有SMTP(out) 的邮件都通过中国*通出去，使用了几天，中国*通的IP没有被spamhaus.org 的黑名单列入过；反而中国*信的IP无辜的又被spamhaus.org列入了XBL（备：中国*信下的IP地址还提供给该公司的内网员工做上网用途）。

2）以下是 http://cbl.abuseat.org/ 贴出来的原因，在下在线翻译了一下，像是说什么中了木马，开了代理一大堆的，不是太清楚具体原因。

IP Address ***.***.***.*** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2014-08-14 09:00 GMT (+/- 30 minutes), approximately 4 hours ago.

It has been relisted following a previous removal at 2014-08-12 14:10 GMT (1 days, 22 hours, 38 minutes ago)

This IP is infected (or NATting for a computer that is infected) with the asprox spambot. In other words, it's participating in a botnet.

If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

3）我现在开始怀疑是内部电脑可能中了病毒，但我现在该从哪方面入手呢，？请大家指点一下

Dennis991 · 发表于 2014-8-14 21:05:39

山坛兄弟发表于 2014-8-12 21:36
楼上说的不错，有邮件队列，退信，发信时间等等可以发现问题的

我联系在客户公司打盹了几天，暂时没发现SMTP（in）有什么异常。但发现之前有一个来自美国的IP老是通过SMTP（in）连接我，但始终不成功，该不会是黑客盯上了？

山坛兄弟 · 发表于 2014-8-15 10:20:53

本帖最后由山坛兄弟于 2014-8-15 10:22 编辑

如果你公司有很多电脑,通过一个公网IP上网,那么任何电脑中毒外发邮件,都直接影响到你的邮件服务器.

山坛兄弟 · 发表于 2014-8-15 10:27:12

我这边有个一个经验,一个朋友买的是云主机,有两个网卡,一个是内网的地址,一个是公网的地址.

我一直监控外发邮件,未发现任何异常的情况,后来我用IPSEC屏蔽了内网192.168.16.XX(云主机分配的内网IP)的任何IP对外连接25端口,目前快一个月了,没进过RBL.

gdhust · 发表于 2015-4-25 14:12:13

怎样把上网公网IP与邮件对外IP分开呢，我现有两个固定IP

钉子 · 发表于 2015-5-28 01:12:04

现在这类，很多不是SMTP的攻击，可能是攻击别人服务顺的其它端口。

		自动登录	找回密码
密码			会员注册

[求助] 被XBL 了，退离了还继续进去，好闷啊！寻根治

点评