Если ваш IP-адрес попал в список Spamhaus CSS, это означает, что с вашей услуги была зафиксирована отправка email с низкой репутацией или SMTP-активность с признаками компрометации либо некорректной настройки почтового сервера.
Для услуг без администрирования клиент самостоятельно проверяет сервер, устраняет причину проблемы и сообщает о результатах в ответ на уведомление. Со стороны провайдера в таких случаях осуществляется приём жалобы, уведомление клиента и, при необходимости, временное ограничение исходящей активности до устранения нарушения.
При получении уведомления по Spamhaus CSS необходимо в течение 24 часов локализовать проблему, прекратить подозрительную SMTP-активность и сообщить о принятых мерах. Если активность продолжается и обратная связь отсутствует, услуга может быть временно ограничена.
СОДЕРЖАНИЕ
- Что означает листинг Spamhaus CSS
- Что нужно сделать в первые 24 часа
- Если вы не используете собственный почтовый сервер
- Если на сервере настроен почтовый сервер
- Базовая проверка сервера
- Когда можно запрашивать удаление из CSS
- Что будет, если проблему не устранить
Что означает листинг Spamhaus CSS
Spamhaus CSS — это репутационный список IP-адресов, с которых была замечена отправка email с низкой репутацией. На практике это чаще всего связано с одной из следующих причин:
- компрометация сервера или веб-сайта и несанкционированная отправка почты;
- ошибочная конфигурация SMTP-сервера;
- некорректные HELO/EHLO, PTR/rDNS или DNS-записи;
- отправка почты приложением, скриптом, CMS, cron-задачей или контейнером напрямую на порт 25.
Если в уведомлении указан HELO вида mail.example.com, это не обязательно означает, что проблема именно в почтовом сервере. Такой HELO может использовать и скомпрометированный сервис, и некорректно настроенное приложение, отправляющее письма напрямую.
Что нужно сделать в первые 24 часа
- Определить, должен ли сервер вообще отправлять почту напрямую в Интернет.
- Если нет — немедленно ограничить исходящий SMTP на порт 25.
- Проверить процессы, очереди почты, логи, cron-задачи, контейнеры и веб-приложения.
- Если сервер используется как mail server — проверить HELO/EHLO, PTR/rDNS, A-записи, SPF и очередь отправки.
- Устранить причину проблемы и только после этого запускать удаление из Spamhaus CSS.
- Ответить в тикете и сообщить, какие меры уже приняты.
Если вы не используете собственный SMTP-сервер, открытый исходящий порт 25 для приложений и пользовательских сервисов, как правило, не требуется. В большинстве случаев отправка должна выполняться через внешний SMTP-сервер по порту 587 или 465 с авторизацией.
Если вы не используете собственный почтовый сервер
В этом случае наиболее вероятные причины — компрометация сайта, вредоносный скрипт, неправильно настроенный mailer, утечка SMTP-доступов либо сервис, который отправляет письма напрямую на порт 25.
Рекомендуемые первичные действия:
ufw deny out 25/tcp
ss -tpn '( dport = :25 )'
lsof -nP -iTCP:25
ps aux --sort=-%cpu | head -20
crontab -l
crontab -u root -l
docker psПосле локализации проблемы необходимо перевести отправку писем на внешний SMTP-сервер через порт 587 или 465 с SMTP-аутентификацией.
Если на сервере настроен почтовый сервер
Если сервер действительно используется как SMTP-сервер, необходимо проверить не только факт отправки почты, но и корректность почтовой конфигурации.
В первую очередь проверьте:
- совпадает ли HELO/EHLO с корректным полным доменным именем сервера;
- существует ли A-запись для имени, используемого в HELO;
- корректно ли настроен PTR/rDNS для IP-адреса;
- нет ли резкого роста очереди исходящих писем;
- нет ли уязвимого сайта, формы, CMS или скрипта, который генерирует отправку через локальный MTA.
hostname -f
dig +short A mail.example.com
dig +short -x 203.0.113.25
postqueue -p 2>/dev/null
exim -bp 2>/dev/null
tail -n 200 /var/log/mail.log 2>/dev/null
tail -n 200 /var/log/exim_mainlog 2>/dev/nullЕсли вы используете Plesk, cPanel или DirectAdmin, дополнительно проверьте настройки исходящей почты и SMTP greeting. Некорректная конфигурация панели может приводить к листингу даже без явной массовой рассылки.
Базовая проверка сервера
1. Проверка процессов и сетевой активности
ss -tpn
lsof -nP -iTCP -sTCP:ESTABLISHED
lsof -nP -iTCP:25
ps aux --sort=-%mem | head -20
ps aux --sort=-%cpu | head -202. Проверка служб и таймеров
systemctl list-units --type=service --state=running
systemctl list-timers --all
crontab -l
crontab -u root -l3. Проверка веб-сайтов и CMS
find /var/www /home -type f -mtime -3 2>/dev/null | head -200
grep -R "mail(" /var/www /home 2>/dev/null | head -100
grep -R "smtp" /var/www /home 2>/dev/null | head -1004. Проверка на несанкционированный доступ
last -a | head -50
lastb -a | head -50
find /root /home -name authorized_keys -type f -print -exec cat {} \; 2>/dev/nullЕсли вы обнаружили неизвестные процессы, подозрительные задачи, неавторизованные SSH-ключи или массовую очередь исходящих писем, сервер следует рассматривать как потенциально скомпрометированный. В такой ситуации рекомендуется не только остановить отправку, но и провести полную проверку безопасности.
Когда можно запрашивать удаление из CSS
Запрашивать удаление IP-адреса из Spamhaus CSS следует только после того, как причина проблемы устранена. Если активность продолжается, IP может быть повторно внесён в список практически сразу после удаления.
Проверка статуса IP и запуск процедуры удаления выполняются через Spamhaus IP and Domain Reputation Checker. Также рекомендуется проверять не только IP, но и связанные домены, так как репутация домена и IP может быть связана.
Листинг CSS обычно снимается автоматически спустя некоторое время после последней детекции, однако при хронической проблеме он может сохраняться дольше. Поэтому основной приоритет — устранить причину отправки, а не только подать запрос на удаление.
Что будет, если проблему не устранить
Если проблема не устранена, почта с сервера может продолжать отклоняться получающими системами, а сама услуга может быть временно ограничена до прекращения нарушающей активности.
- ограничение исходящего SMTP-трафика;
- временная блокировка исходящего порта 25;
- временная приостановка услуги до решения инцидента.
При жалобе от Spamhaus CSS клиенту необходимо в первую очередь определить источник SMTP-активности, прекратить отправку на порт 25, проверить сервер на компрометацию или ошибочную конфигурацию и только после устранения причины переходить к удалению IP из списка.
