前言


網路上即時阻擋清單(Realtime Block List,RBL)的來源,除了具公信力的第三組織外,

也有國際防毒大廠建立的垃圾信網路信用評價(Network Reputation Services)或者電信公司 ISP 業者自行蒐集的黑名單為主。

本文針對 RBL 問題,提供常見的處理方式與預防機制的說明:


1.RBL 發生原因

外寄主機加入黑名單較常見的原因有以下:

常發生原因
說明
1. 外寄大量廣告信
未在收件方郵件主機合法名單,發信行為遭檢舉為垃圾信發信主機。
2. 郵件帳號遭盜用
因使用者帳號密碼遭盜用,對其他郵件主機進行大量發信,發信行為被判斷為 DoS/DDoS 攻擊,遭檢舉至 RBL 單位。
3. 退信攻擊被檢舉
使用者「帳號不存在」或該「帳號空間不足」產生退信,因該寄件人為垃圾信主機偽造發送,系統大量對外發送退信造成我方主機被判斷為退信攻擊主機。
4. 網路架構問題
因公司對外公開 Public IP 僅有1組,內部多套系統共用下,如其中1套系統產生中毒或遭惡意程式攻擊,造成該 IP 被檢舉為黑名單


2.RBL 問題處理

如遇到外寄主機被 RBL 封鎖,可以透過以下方式處理:

處理方式
說明
1. 檢查問題原因
Mail2000 用戶,可以從收發信紀錄查詢時間區段內有無異常的大量外寄信件或退信,針對問題帳號先進行停權。
MailGates/MailAudit 用戶,可以從紀錄檢閱中檢查時間區段內有無異常的大量外寄信件或退信,針對異常發送或遭盜用帳號,切回後端郵件系統進行停權,避免持續發送與接收大量退信。
2. 置換外寄IP
使用備用 IP 取代原外寄主機 IP 恢復正常寄信。待封鎖解除後,可置換回原IP 或轉成備用。
*注意此方式需預先完成相關 DNS 設定。
3. 置換外寄主機
如現有環境具有外寄閘道設備(例如 MailGates)亦可設定將外寄信件遞送到 MailGates 對外送信,待 RBL 解除後,再將設定改為由郵件主機直接送信。
4. 申請解除封鎖
從退信訊息[1]分析 RBL 單位,登入該 RBL網站[2],線上申請解除封鎖[3]
 
5. 設定 IP 白名單
如有緊急信件需遞送,可請收件方主機將我方外寄主機 IP 加入白名單。



3.寄件方被列為 RBL

可以提供 MailGates 主要監看的 RBL 網站,請寄件方進行解除或將寄件方主機 IP 以加入我方系統白名單,恢復對我方正常寄信。


MailGates 系統目前有參照的 RBL單位共 6 家,資訊如下:

MailGates RBL  Setting
預設啟用
cbl.abuseat.org
sbl-xbl.spamhaus.org
bl.spamcop.net

預設未啟用
cblless.anti-spam.org.cn
dnsbl.njabl.org
dnsbl-3.uceprotect.net


4.RBL 預防措施

如需預防或降低 RBL 發生的機會,可以透過以下幾種預防措施:

預防措施
說明
1. 配置 IP 資源
依資源準備 1-2組備用 IP 提供緊急置換使用,注意此方式需預先完成相關 DNS 設定。
調整網路架構,避免對外僅使用一組 Public IP 風險。
2. 阻擋可疑發信行為
Mail2000 用戶:
可設定「大量發信偵測」限制時間區段內「同一寄件人、同一信件來源、同一信件標題」等發信數量。主動檢查有無大量發信行為,管理者發現可疑帳號後進行檢查或停權處理。
MailGates/MailAudit 用戶:
可設定「大量外寄防護」條件,限制時間區段內「同一寄件人、同一信件標題」等發信數量,主動阻擋可疑的外寄行為。管理者再到後端郵件主機檢查或封鎖可疑帳號。
3. 定期監看 RBL
可使用網路上免費資源,直接檢查主機 IP 是否在 RBL 觀察名單中,主動發現申請解除封鎖。
RBL 查詢網站1 : http://www.anti-abuse.org[1]
 RBL 查詢網站2 : http://www.dnsbl.info/
主動監控可透過 RBLmon(https://www.rblmon.com/)註冊後將輸入外寄郵件主機 IP 進行監控。該網站會主動提供通知。

4. 白名單管理
可從收發信紀錄或統計表,列出收發頻率較高的合法網域,加入MailGates(Anti-Spam) 系統白名單,減少因寄件方主機被列為 RBL,導致無法正常對 MailGates寄信。
5. 加強帳密安全
非 Mail2000 用戶
  • 定期檢查現有郵件帳號是否有久未使用的帳號,定時清除或暫SMTP 發信服務功能。
  • 定期進行電腦掃毒,降低因中毒造成 RBL 問題。
Mail2000 用戶
  • 可使用介面功能檢查久未登入帳號,進行檢查或暫時停權。可開啟「社交工程防護」的郵件安全功能,例如讀信時可設定去除信件內JavaScript語法或強制將信件轉換為純文字格式,提高人員讀信安全及避免誤點惡意連結造成帳密外洩。
  • Mail2000 用戶,可調整密碼安全政策設定、設定 WebMail登入提供虛擬螢幕鍵盤或圖形驗證碼、定期進行密碼變更與弱密碼分析。
6. 設定SPF請參考此篇文章
7. 設定外寄IP正反解 PTR反解(DNS Reverse)的意思恰好與正解相反,是將IP轉換成相對應的網域名稱(Domain Name)。


附件1、退信訊息範例

當外寄信件遭受對方郵件主機、spam組織(例如:RBL等)阻擋時,應當如何應對以及申請解除。

當收到退信通知,發現外寄信件有被阻擋時,請先是否已解決帳號被盜發、或寄發大量EDM信件出去等問題,以避免申請解除之後,又再被加入黑(灰)名單中。


退信通知信範例: 


註:常見退信訊息:

1.

xxxx.tw@hotmail.com [550 OU-002 (SNT0-MC1-F34) Unfortunately, messages from 211.75.169.60 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx]


2.

test1@test1.com.tw [550 RBL matched Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=211.75.169.60]


3.

ddddd@xxxxxxx.com.tw [550 #5.7.1 Your access to submit messages to this e-mail system has been rejected.]



註:部分廠商會將退信原因標註在退信內容中,可根據這些訊息來確認哪個品牌、原因做了阻擋、如何申請解除,若無只能自行到各大SPAM組織查詢。


附件2、查詢 RBL網站使用說明

RBL網站1:http://www.anti-abuse.org

  • RBL 監控單位:約 64 個(持續增加)
  • 說明 : 於在右方 Multi-RBL Check 欄位輸入外寄主機 IP 即可,查詢後可直接點選連結到官網申請解除。


RBL網站2:http://www.dnsbl.info 

  • RBL 監控單位:約 79 個(持續增加)
  • 說明 : 於在上方 Multi-RBL Check 欄位輸入外寄主機 IP 即可,查詢後可直接點選連結到官網申請解除。


附件3、申請解除 RBL 範例

目前常見解除 RBL 的情境會有以下三種解除方式:免費申請解除、付費申請解除、同時提供免費與付費解除。


1.免費申請解除,但需依該網站預設時間週期解除

 

以 RBL 網站 http://barracudacentral.org/rbl 為範例

送出申請,約需48小時方可從poor list移除。



2.申請付費解除

以 RBL 網站 http://dnsbl.inps.de 為範例,確認 IP 被 RBL 封鎖,需付費移除


Submit送出後:The instant removal was successfully completed.


3.申請後依預設時間週期解除,提供付費立即解除

以 RBL 網站 http://www.uceprotect.net 為範例,確認 IP 被該網站 RBL 封鎖,可先進行移除,或選擇立即付費移除

測試並移除(remove:(重要字眼))監聽



確認被listed:


此組織七天內若再無記錄,可自動解除,或也可付費立即解除:


附件4、解除免費信箱(Hotmail/Gmail/Yahoo)封鎖說明


1.Hotmail 申請方式

如退信訊息為以下代碼,需要開啟 Hotmail 網站申請解除

http://mail.live.com/mail/troubleshooting.aspx
xxxx.tw@hotmail.com [550 OU-002 (SNT0-MC1-F34) Unfortunately, messages from 211.75.169.60 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx]


申請解除網址:https://sendersupport.olc.protection.outlook.com/pm/policies.aspx


2.Gmail 申請方式

如退信訊息為以下代碼,需至以下退信訊息網址了解Gmail阻擋政策:

550-5.7.1 [10.10.10.10] Our system has detected an unusual rate of unsolicited mail originating from your IP address. To protect our users from spam, mail sent from your IP address has been
blocked. Please visit http://www.google.com/mail/help/bulk_mail.html to review our Bulk Email Senders Guidelines. r70si7199951yhm.119
554 5.0.0 Service unavailable



因Gmail並未有申請解除的頁面,僅能透過修正Mail主機惡意攻擊後,等待Gmail解除,

請參考大量電子郵件寄件者指南:http://www.google.com/mail/help/bulk_mail.html
除了內文中強調的DKIM以外,強列建議設定SPF與正反解,避免遭受阻擋。

 或可考慮自Google Gmail論壇中的報告問題中張貼申請http://productforums.google.com/forum/#!forum/gmail-zh-tw

 

 另外Gmail也提供一網站,針對被列為SPAM的信件做解除為正常信件:https://support.google.com/mail/contact/bulk_send?hl=zh-Hant

 

或者:

 

https://support.google.com/mail/contact/msgdelivery

以下輸入,建議請用英文填寫:


3.Yahoo 申請方式


               

至YAHOO網頁申請大量信件手續:https://io.help.yahoo.com/contact/index?page=contact&locale=zh_TW&y=PROD_MAIL_ML

 

依以下項目選擇後,輸入遭阻擋的退信訊息。


                     

填寫相關資訊(部分資訊需至Mail2000/MailGates Console端執行telnet指令):

  

 

另外也可以參考一下Yahoo建議的方案,減少寄發大量信件被阻擋的機率: