Specjalista do spraw urządzeń podłączonych do prądu walczy z SORBS'em. Tom 1
Ponieważ jest to mój pierwszy wpis proszę o dużo wyrozumiałości i dużo pozytywnych komentarzy. Negatywne również będą tolerowane...
Chciałem podzielić się moimi doświadczeniami z SORBS czyli jednym z RBL'i. Wszyscy którzy mieli przyjemność zajmować się pocztą od tej czarnej strony mocy na pewno wiedzą co to są RBL'e , a tych którzy nie wiedzą o co chodzi odsyłam do wikipedii (http://pl.wikipedia.org/wiki/Serwer_RBL)
Serwery RBL wzbudzają wiele emocji, szczególnie wśród spamerów (o czym świadczą częste ataki na te serwery), ale administratorzy również potrafią serdeczne słowa pod ich adresem kierować. Ja jestem jednym z nich...
Wszystko zaczęło się od tego, że dostałem zlecenie skonfigurowania „dziwnego” serwera poczty. Dlaczego dziwnego? Ano firma posiada już jeden serwer poczty (w domenie firma.com) przeznaczony dla pracowników. Ten „nowy” będzie obsługiwał domenę firma.pl i będzie przeznaczony dla klientów. Wysyłanie wiadomości z niego będzie NIEMOŻLIWE z wyjątkiem domeny firma.com, a sam serwer nie będzie przyjmował wiadomości ze świata z wyjątkiem domeny firma.com (+adresy wynikające z RFC).
Teraz każdy kto „czuje” pocztę od strony administracyjnej zada pytanie:
Skoro nowy serwer w domenie firma.pl nie ma wysyłać nigdzie wiadomości (z wyjątkiem firma.com) to po co się martwić RBL'ami itp
Pytanie jest całkiem słuszne. Wystarczyłoby dodać serwer firma.pl do whitelisty na serwerze i firma.com i po krzyku. W czym problem? We mnie :) Jak coś robię to porządnie i „przyszłościowo”. Nie mam pewności, czy za miesiąc, rok czy dwa ktoś nie wymyśli, że może by tak z serwera firma.pl jednak wysyłać maile w świat... Ludzie mają różne dziwne pomysły i chodź logika mówi, że tak nie powinno nigdy się stać to nigdy nie można tego wykluczyć. Postanowiłem, że zrobię to porządnie i ..... już nie wiem czy tak zrobię :)
Akt 1 – Zaczynamy
Odpaliłem przaśny skrypcik napisany w perlu który sprawdza czy podana domena nie występuje w żadnym z 36 RBL'i które mam na liście. Wynik był niestety taki:
CHECK_RBL CRITICAL - firma.pl BLACKLISTED on 1 server of 36 (dnsbl.sorbs.net) | servers=1;0;0 time=1s;;
No czyli, że od początku pod górkę. Mój serwer widnieje na SORBS'ie.... Wysłanie wiadomości z tego serwera na jakikolwiek korzystający z SORBS'a zakończy się niepowodzeniem. Ponieważ przechodziłem to samo dla domeny firma.com jakoś nie byłem zaskoczony. Według RBL adres 170.90.220.125 jest dynamiczny i dlatego jest na blackliście.... IP jest jak najbardziej statyczne (mniej więcej od 3 lat przypisany do mojej firmy). Zatem trzeba działać
Akt 2 – Atak pierwszy czyli Uprzejmie proszę....
Wymazanie z listy (a raczej dodanie wyjątku) zacząłem od założenia konta sorbs.net. Po 30 minutach okazało się, że konto już mam (pewnie założyłem jak delistowałem firma.com), konieczne było przypomnienia hasła. Przeszedłem ładnie przez formularz zgłoszeniowy , a w informacjach dodatkowych wpisałem coś na modłę: „Adres IP 170.90.220.125 należy do podsieci 170.90.220.120/29 i od kilku lat jest przypisany do firmy XXX. Nie jest zatem na pewno dynamicznie przydzielany. W tej samej podsieci istnieje drugi serwer poczty działający pod adresem dla którego został dodany wyjątek 170.90.220.122. Proszę o utworzenie wyjątku dla adresu 170.90.220.125”. Podałem jeszcze nazwę firmy itp itd... Po 5 minutach automat radośnie mi odpisał, że się nie da, że mam przeczytać FAQ i sprawdzić revDNS. Uwaga z revDNS była całkiem słuszna, ale ale.... W mailu wypisano jeszcze coś takiego:
I found then following IP space, not eligible for delisting: 170.90.220.0/26 170.90.220.64/27 170.90.220.96/28 170.90.220.112/29 170.90.220.120/31 170.90.220.127/32 170.90.220.128/25
No i tu pierwszy zonk.... Skąd SORBS wytrzasnął te podsieci??? Ja na 1000000% jestem pewien, jaki mam adres (najpierw trzeba było zadzwonić na błękitną, żeby podali bo papiery oczywiście zaginęły) i ja mam adres 170.90.220.120 maskę 29 a mądry automat ma 31.... Ciekawe...
Akt 3 – revDNS
Jak już pisałem automat podpowiedział, żeby sprawdzić wpis revDNS. No i oczywiście był nieprawidłowy. Telefon do przyjaciela, kilka pytań do wujka googla (typu orange revdns) i mamy już prawidłowy revDNS. Tak minął pierwszy dzień zmagań. Postanowiłem poczekać do następnego dnia z molestowaniem sorbsa, żeby wpisy miały czas rozejść się po DNS'ach
Akt 4 – Ponawiam atak
Molestuję znowu SORBS'a i uprzejmie informuję, że revDNS dla 170.90.220.125 jest już prawidłowy. Dostaję w odpowiedzi jakiś bełkot (w stylu nie można, bo revDNS jest nieprawidłowy i sorry wintu) i taki oto listing:
NSLookup: QUESTIONS: 120.220.90.170.in-addr.arpa, type = PTR, class = IN ANSWERS: -> 120.220.90.179.in-addr.arpa type = PTR, class = IN, dlen = 29 name = xxx.internetdsl.tpnet.pl ttl = 86399 (23 hours 59 mins 59 secs)
No i ręce mi opadły, bo moje zgłoszenie nie dotyczyło całej podsieci (czyli 170.90.220.120/29) tylko konkretnego IP. Przy okazji zwracam uwagę, że tu maska podsieci jest OK, a wcześniejszy cytat z maila to maska 31.... Ech.... Kolejny dzień pracy się kończy, więc molestowanie odkładam do jutra....
Akt 5 – Ktoś stracił nerwy...
I najprawdopodobniej przeprowadził DDoS na SORBS'a, bo przez cały dzień strona była niedostępna. No cóż... Poczekam do jutra....
Akt 6 – Mniej uprzejmie proszę
No to piszę paszkwila... Wyjaśniam grzecznie, acz stanowczo, że moje zgłoszenie dotyczyło 170.90.220.125, a nie 170.90.220.120 odmowa dodania wyjątku z powodu revDNS na tym drugim IP wydaje mi się absurdalna. Dodaję także, że jakoś nie mieli problemu z dodaniem wyjątku dla innego serwera poczty, którego IP należy do tej samej podsieci 170.90.220.120/29.
Mija czas... Mamy kolejny dzień i przychodzi radosna wiadomość, w tonie „Dziękujemy, przepraszamy przyznajemy rację, dodajemy wyjątek i polecamy się na przyszłość”
Moja zadowolenie było prawie pełne. No 4 dni to jest trochę czasu, ale grunt, że sprawa załatwiona. Jeszcze tylko sprawdzę.....
Akt 7 – Szlag mnie trafi
Zaczynam się zastanawiać, czy ktoś tam nie rozumie znaczenia maski czy o co chodzi. Dodano wyjątek. Owszem. Problem w tym, że dla adresu 170.90.220.124/31. Noż w mordę. Skąd pytam się wzięli takie coś. Owszem mam taki adres, ale działa na nim serwer WWW :)
No cóż... Trzeba pisać wielkimi literami kolejnego maila....
Akt 8 – Permission denied
Napisałem, że poziom abstrakcji przestaje być dla mnie akceptowalny (tzn nie dokładnie to, bo mój angielski mi na to nie pozwolił) itp itp... Dużo napisałem. Wyjaśniłem jak krowie na rowie, że zgłoszenie dotyczy IP 170.90.220.125/32, a nie 170.90.220.120/29 ani nie 170.90.220.124/31, wysłałem i...... Po minucie dostałem zwrotkę:
I am sorry, but you are not permitted to reopen this ticket, the SORBS Administrator has been notified of your message and if appropriate he or she will reopen the ticket.
O super. Nie jestem permitted zatem kto jest permitted??? I czy owi administratorzy zechcą reopen?? Czy w ogóle zechcą się odezwać....
I tak mija 5 dzień walki z wiatrakami. Nie znam końca. W końcu nie jestem permitted, a administratorzy jakoś nie mają ochoty drążyć tematu. Nie wiem co dalej.... Może kiedyś dopiszę ciąg dalszy tej opowiastki....
RBL'e to potężne narzędzie w rękach administratorów poczty w walce ze spamem. Dziękuję i doceniam pracę osób odpowiedzialnych za nie, jednak chciałoby się, żeby to inaczej nieco funkcjonowało... W przypadku tego „dziwnego” serwera poczty bez problemu obejdę problem bez udziału mitycznych administratorów SORBS'a. Gdyby to jednak miał być „całkiem normalny” mailserwer to co??? To proszenie na kolanach chyba zostało, albo cierpliwie czekanie aż ktoś odrobi lekcję z czytania ze zrozumienie+czytanie IP/MASKA.....
PS1: Już wiem, że administratorzy nie zechcieli reopen my request...
PS2: Ciąg dalszy nastąpił.... Osiągnięty poziom absurdu poraża i jeżeli będzie zainteresowanie to opublikuję uroczą korespondencję
PS3: Domena firma.pl i firma.com są oczywiście fikcyjny. W adresie IP zmieniono 2 pierwsze oktety więc nslookup itp nie mają sensu