Сегодня получил жалобу на то, что моя почтовая система перестала принимать письма от одного из постоянных отправителей. Дословно было примерно так:
«Ваша система не принимает почту от нашего сервера с 19 марта 2015, мы ничего не меняли и все у нас с почтовым сервером хорошо.«
Такие письма — обычное дело, скорее всего IP адрес отправителя попал в DNSBL или цисковский SenderBase.com, но именно с таким случаем я раньше не сталкивался.
Нужно помнить о том, что почтовый администратор должен обеспечивать работоспособность системы электронной почты и делать всё на благо пользователя, что не перечит корпоративным политикам и не мешает работе других систем. Если пользователь обращается с проблемой о том, что почта с какого-то сервера не может быть доставлена из-за ошибки работы спам систем, то IP этого сервера должен быть добавлен в белый список, чтобы сотрудник смог получать письма.
Поскольку IP адреса серверов часто меняются, а также отсутствует механизм по удалению их из белого списка из-за потери актуальности, я обычно контактирую с администратором почтовой системы, указываю на ошибки и говорю, что в белый список добавляем на 2 недели, пока они правильно не настроят свой сервер.
В общем стал я разглядывать полученный IP адрес и настройки сервера, с настройками DNS все круто, придраться не к чему, даже записи Reverse DNS и SPF настроены.
Но IP адрес сервера находится в нескольких DNS Block Lists, мало того, цисковский тоже весь красный. Дыма без огня не бывает, похоже все же с этого IP спамили.
На всякий случай решил зайти на вебсайт этого домена, но по ошибке набрал имя домена без .ru и попал в гугл, кликнул по ссылке сайта и вуаля, вместо сайта я увидел
Зашел на сайт напрямую — все хорошо, сайт открывается и работает, как надо. Что происходит? Почему меня перенаправляет на другой сайт?
Все понятно, похоже на сайте сидит вирус, который отслеживает HREF и если это предопределенный сайт, то он делает редирект. Логика у вируса очень правильная. Если редиректить пользователей при входе по прямой ссылке, то среди них будет вебмастер, который быстро исправит ошибку, а если это будут случайные люди из поиска, то вирус проживет на сайте дольше.
Потом мы проверили сайт в онлайновой проверялке не вирусы и все стало на свои места.
На этом сайте приведено объяснение, как такие редиректы делаются.
Вывод, что же произошло. Данному отправителю на вебсайт, который находится на одном IP с SMTP сервером, посадили вирус, который время от времени рассылает спам и попадает в DNSBL. Мы сообщили об этом администратору, очень интересно, как быстро он исправит проблему.
p.s. самое интересное, что через несколько часов IP адрес исчез из большинства DNSBL и SenderBase, но вирус при этом остался на сайте. Наверно нужно подождать, пока вирус опять активизируется, разошлет спам еще раз и опять попадет в DNSBL.
Первое упоминание о том, что на этом сайте есть вирус было 193 дня назад, поэтому с большим удовольствием понаблюдаю за этим IP.
UPDATE1.
Прошло пару дней и что мы видим …. правильно, сервер опять попал в DNSBL. 🙂 «У нас с почтовым сервером все хорошо» Угу, я вижу 🙂
UPDATE2:
Бинго, вирус на сайте наконец-то убили.