Всё о о Microsoft Exchange Server и электронной почте.

Попали в DNSBL? Проверьте web сайт на вирусы. Нашли http://www.mynewn.epac.to/?

Сегодня получил жалобу на то, что моя почтовая система перестала принимать письма от одного из постоянных отправителей. Дословно было примерно так:

«Ваша система не принимает почту от нашего сервера с 19 марта 2015, мы ничего не меняли и все у нас с почтовым сервером хорошо.«

Такие письма — обычное дело, скорее всего IP адрес отправителя попал в DNSBL или цисковский SenderBase.com, но именно с таким случаем я раньше не сталкивался.

Нужно помнить о том, что почтовый администратор должен обеспечивать работоспособность системы электронной почты и делать всё на благо пользователя, что не перечит корпоративным политикам и не мешает работе других систем. Если пользователь обращается с проблемой о том, что почта с какого-то сервера не может быть доставлена из-за ошибки работы спам систем, то IP этого сервера должен быть добавлен в белый список, чтобы сотрудник смог получать письма.

Поскольку IP адреса серверов часто меняются, а также отсутствует механизм по удалению их из белого списка из-за потери актуальности, я обычно контактирую с администратором почтовой системы, указываю на ошибки и говорю, что в белый список добавляем на 2 недели, пока они правильно не настроят свой сервер.

В общем стал я разглядывать полученный IP адрес и настройки сервера, с настройками DNS все круто, придраться не к чему, даже записи Reverse DNS и SPF настроены.

Но IP адрес  сервера находится в нескольких DNS Block Lists, мало того, цисковский  http://www.senderbase.org тоже весь красный. Дыма без огня не бывает, похоже все же с этого IP спамили.

На всякий случай решил зайти на вебсайт этого домена, но по ошибке набрал имя домена без .ru и попал в гугл, кликнул по ссылке сайта и вуаля, вместо сайта я увидел

http://www.mynewn.epac.to/Зашел на сайт напрямую — все хорошо, сайт открывается и работает, как надо. Что происходит?  Почему меня перенаправляет на другой сайт?

Все понятно, похоже на сайте сидит вирус, который отслеживает HREF и если это предопределенный сайт, то он делает редирект. Логика у вируса очень правильная. Если редиректить пользователей при входе по прямой ссылке, то среди них будет вебмастер, который быстро исправит ошибку, а если это будут случайные люди из поиска, то вирус проживет на сайте дольше.

Потом мы проверили сайт в онлайновой проверялке не вирусы и все стало на свои места.

joomla redirect virus http://www.mynewn.epac.to/   joomla virus redirectНа этом сайте приведено объяснение, как такие редиректы делаются.

Вывод, что же произошло. Данному отправителю на вебсайт, который находится на одном IP с SMTP сервером, посадили вирус, который время от времени рассылает спам и попадает в DNSBL.  Мы сообщили об этом администратору, очень интересно, как быстро он исправит проблему.

p.s. самое интересное, что через несколько часов IP адрес исчез из большинства DNSBL и SenderBase, но вирус при этом остался на сайте. Наверно нужно подождать, пока вирус опять активизируется, разошлет спам еще раз и опять попадет в DNSBL.

Первое упоминание о том, что на этом сайте есть вирус было 193 дня назад, поэтому с большим удовольствием понаблюдаю за этим IP.

UPDATE1.

Прошло пару дней и что мы видим …. правильно, сервер опять попал в DNSBL. 🙂 «У нас с почтовым сервером все хорошо» Угу, я вижу 🙂

DNSBL

UPDATE2:
Бинго, вирус на сайте наконец-то убили.

Похожие посты:

  • pnagaev

    однако

  • http://vk.com/id37579487 Павел Нагаев

    еще один коммент

  • Александр

    Павел, раз тут пишете
    Посмотрите, плиз, RSS. На сайте фид ленты почему-то битый 🙁

  • pnagaev

    угу, гляну.

  • pnagaev

    проверяйте, вроде работает.

  • Александр

    Да, теперь работает. Спасибо огромное!