Spamhaus to organizacja non-profit zajmująca się analizą zagrożeń, która prowadzi najczęściej wykorzystywane w internecie listy blokad poczty. Gdy Twój wysyłający IP lub domena trafi na listę Spamhaus, tysiące serwerów pocztowych może w ciągu kilku godzin odrzucić Twoją pocztę lub skierować ją do folderu spam. Większość wpisów można sprawdzić samodzielnie, a jeśli spełniasz warunki, także samodzielnie usunąć.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Ten przewodnik wyjaśnia, czym zajmuje się Spamhaus, omawia jego główne listy (SBL, XBL, PBL, DBL oraz CSS), pokazuje, skąd biorą się wpisy, i opisuje, jak sprawdzić wpis oraz poprosić o jego usunięcie. Tłumaczy również, dlaczego wpis PBL dla domowego IP jest zjawiskiem normalnym i zwykle nie stanowi problemu, który trzeba naprawiać.
Czym jest Spamhaus
Projekt Spamhaus publikuje listy blokad oparte na DNS, powszechnie nazywane DNSBL. Odbierający serwer pocztowy odpytuje strefę Spamhaus w czasie rzeczywistym podczas rozmowy SMTP. Jeśli łączący się adres IP lub domena znajdująca się w treści wiadomości jest na liście, odbiorca może wiadomość od razu odrzucić, odłożyć jej przyjęcie albo skierować ją do spamu.
Dane Spamhaus są odpytywane miliardy razy dziennie i zasilają bezpośrednio decyzje filtrujące dużych dostawców skrzynek pocztowych oraz niezliczonych serwerów samodzielnie hostowanych. Ten zasięg sprawia, że wpis w Spamhaus ma większą wagę niż większość innych czarnych list. Szersze spojrzenie na to, jak czarne listy wpisują się w dostarczalność, znajdziesz w przewodniku jak usunąć się z czarnej listy poczty.
Spamhaus dzieli swoje dane na kilka stref, aby odbiorcy mogli stosować do każdej z nich inną politykę. Wiedza o tym, na której liście się znajdujesz, mówi Ci zarówno o tym, dlaczego trafiłeś na listę, jak i o tym, jak zostać z niej usuniętym.
Główne listy Spamhaus
Każda lista Spamhaus dotyczy innego rodzaju ryzyka. Większość z nich obejmuje adresy IP, a jedna obejmuje domeny.
| Lista | Pełna nazwa | Obejmuje | Typowy powód |
|---|---|---|---|
SBL | Spamhaus Blocklist | IP | IP zaobserwowane przy wysyłaniu spamu lub pod kontrolą spamerów |
XBL | Exploits Blocklist | IP | Przejęte lub zainfekowane hosty, botnety, otwarte proxy |
PBL | Policy Blocklist | IP | Zakresy IP, które nie powinny wysyłać poczty bezpośrednio (domowe, dynamiczne) |
CSS | Combined Spam Sources | IP | Nadawcy o niskiej reputacji, snowshoe spam, część przejętych hostów |
DBL | Domain Blocklist | Domeny | Domeny spamowe, phishingowe lub złośliwe w treści wiadomości |
Spamhaus publikuje też strefę łączoną o nazwie ZEN, która scala dane IP z list SBL, CSS, XBL i PBL w jedno zapytanie, dzięki czemu odbiorcy mogą sprawdzić wszystko naraz. DBL jest odpytywana osobno, ponieważ obejmuje domeny, a nie adresy IP.
SBL (Spamhaus Blocklist)
SBL zawiera pojedyncze adresy IP i zakresy, od których Spamhaus zaleca odbiorcom nieprzyjmowanie poczty. Wpisów dokonują badacze Spamhaus, gdy dane IP zostaje zauważone przy wysyłaniu spamu lub wydaje się być pod kontrolą spamerów albo cyberprzestępców. Wpisy SBL są oparte na dowodach i zwykle wymagają, aby właściciel sieci lub ISP rozwiązał leżący u podstaw problem, zanim wpis zostanie usunięty.
XBL (Exploits Blocklist)
XBL obejmuje adresy IP hostów, które zostały przejęte, w tym maszyny zainfekowane złośliwym oprogramowaniem, węzły botnetów, otwarte proxy oraz otwarte przekaźniki. Czysty serwer może trafić na XBL, jeśli zostanie zhakowany i wykorzystany do przekazywania spamu, albo jeśli współdzieli IP z przejętym urządzeniem. XBL jest w dużej mierze zautomatyzowana i oferuje samoobsługową ścieżkę usunięcia wpisu, gdy exploit zostanie już usunięty.
PBL (Policy Blocklist)
PBL różni się od pozostałych. Nie oznacza, że wysyłałeś spam. PBL obejmuje zakresy IP, które nie powinny wysyłać poczty bezpośrednio do internetu, co niemal zawsze oznacza dynamiczne i domowe adresy szerokopasmowe przydzielane przez dostawców internetu. ISP zgłaszają własne zakresy, a Spamhaus dodaje zakresy na podstawie polityki. Więcej o tym, dlaczego jest to normalne, poniżej.
CSS (Combined Spam Sources)
CSS to automatycznie generowany zbiór danych, który wychwytuje IP o niskiej reputacji nieobjęte jeszcze przez PBL ani XBL. Często wymierzony jest w snowshoe spam, gdzie nadawca rozprasza wolumen cienką warstwą po wielu adresach IP, aby ominąć filtry oparte na wolumenie, a może też wychwytywać przejęte hosty. Wpisy CSS są częścią danych SBL i korzystają z tego samego samoobsługowego formularza usuwania.
DBL (Domain Blocklist)
DBL to jedyna lista Spamhaus wymierzona w domeny, a nie w adresy IP. Obejmuje domeny znalezione w treści wiadomości spamowych, phishingowych lub złośliwych. Nawet dobrze skonfigurowany wysyłający IP napotka problemy z dostarczaniem, jeśli domena w Twoich linkach lub w adresie From znajduje się na DBL. Ponieważ działa ona na reputacji domeny, sam czysty IP nigdy nie wystarczy, aby uniknąć wpisu.
Skąd biorą się wpisy
Spamhaus wykorzystuje połączenie pułapek spamowych, automatycznych heurystyk, strumieni danych o spamie na żywo oraz ręcznych badań. Do częstych wyzwalaczy należą:
- Wysyłanie na adresy będące pułapkami spamowymi, co mocno sygnalizuje źle utrzymywaną lub kupioną listę. Zobacz czym jest pułapka spamowa.
- Nagły skok wolumenu z zimnego IP bez historii rozgrzewania.
- Przejęty serwer, CMS lub konto przekazujące spam bez Twojej wiedzy.
- Wysoki wskaźnik skarg lub twardych odbić wskazujący na słabą higienę listy.
- Domeny pojawiające się w treści nadużyciowych wiadomości, co napędza wpisy DBL.
Wiele wpisów jest raczej objawem głębszego problemu z dostarczalnością niż jego pierwotną przyczyną. Słabe uwierzytelnianie, kiepska reputacja nadawcy lub brak zgodności (alignment) mogą przyczyniać się do zachowania wysyłkowego, które prowadzi do wpisu na listę.
Dlaczego wpisy PBL są normalne dla domowych IP
Jeśli sprawdzisz swój domowy lub biurowy adres szerokopasmowy w Spamhaus i znajdziesz go na PBL, jest to oczekiwane i poprawne. ISP przydzielają dynamiczne i domowe adresy, które nigdy nie były przeznaczone do prowadzenia serwera pocztowego. Spamhaus, a także sami dostawcy internetu, wpisują te zakresy, aby odbiorcy odrzucali kierowaną bezpośrednio do MX pocztę z tych adresów, ponieważ legalna poczta z tych adresów powinna wychodzić przez smarthost dostawcy internetu lub usługodawcy.
Wpis PBL staje się problemem tylko wtedy, gdy faktycznie prowadzisz serwer poczty wychodzącej na statycznym IP w obrębie wpisanego zakresu. W takim przypadku Spamhaus oferuje samoobsługowe wyłączenie:
- IP musi być statyczny, a nie dynamiczny. Adresy dynamiczne nie kwalifikują się.
- Wyszukaj IP w narzędziu Spamhaus IP and Domain Reputation Checker i otwórz szczegóły wpisu PBL.
- Wykonaj kroki usuwania i potwierdź z adresu e-mail spoza dostawców darmowych. Zgłoszenia z Gmail, Yahoo, Outlook lub innych domen darmowych skrzynek są automatycznie unieważniane przez kontrole bezpieczeństwa.
- Odczekaj około 15 minut na propagację DNS.
Wyłączenia PBL dla pojedynczego IP użytkownika końcowego wygasają po roku i są natychmiast cofane, jeśli z tego IP zostanie wykryty spam. Dla większości nadawców korzystających z renomowanego dostawcy czystszym rozwiązaniem jest w ogóle niewysyłanie bezpośrednio z domowego IP. Korzystaj z serwerów poczty wychodzącej swojego dostawcy i upewnij się, że Twoja konfiguracja ma prawidłowy, potwierdzony w przód rekord PTR, aby odbiorcy mogli zweryfikować wysyłający host.
Jak sprawdzić wpis w Spamhaus
Spamhaus wycofał swoje samodzielne Centrum Usuwania z List Blokad i obecnie konsoliduje wyszukiwania w narzędziu IP and Domain Reputation Checker na spamhaus.org. Wpisz swój wysyłający IP lub domenę, a narzędzie poinformuje, które strefy Cię wpisują, wraz ze szczegółami i kolejnymi krokami dla każdej z nich.
Zanim sprawdzisz Spamhaus, upewnij się, z jakiego IP i domeny faktycznie wysyłasz. Odczytaj nagłówki e-mail z dostarczonej wiadomości, aby znaleźć łączący się IP, a następnie sprawdź ten adres, a nie IP swojej strony internetowej czy biura. Aby przeprowadzić szerszy przegląd wielu list blokad naraz, zobacz jak sprawdzić, czy domena jest na czarnej liście.
Jak poprosić o usunięcie wpisu
Właściwa ścieżka usunięcia zależy od listy:
- PBL: Samoobsługowe wyłączenie dla kwalifikujących się statycznych IP, jak opisano powyżej.
- XBL i CSS: Skorzystaj z samoobsługowego formularza usuwania w Reputation Checker po usunięciu leżącego u podstaw exploita lub źródła spamu. Jedno zgłoszenie może objąć obie listy, gdy dotyczą jednocześnie. Usunięcie często kończy się w ciągu kilku minut od zatwierdzenia.
- SBL: Zwykle wymaga działania właściciela sieci lub ISP. Jako użytkownik końcowy skontaktuj się ze swoim ISP, dostawcą hostingu lub dostawcą usług e-mail, który musi rozwiązać problem i poprosić o usunięcie odpowiedniego wpisu SBL.
- DBL: Skorzystaj ze ścieżki usuwania wskazanej dla wpisanej domeny w Reputation Checker, po zaprzestaniu nadużyciowej aktywności powiązanej z tą domeną.
Usunięcie nie utrzyma się, jeśli zachowanie, które je spowodowało, będzie trwać nadal. Najpierw usuń pierwotną przyczynę: zaostrz higienę listy, zabezpiecz wszelkie przejęte konta lub serwery i uporządkuj swoje uwierzytelnianie. Opublikuj poprawne rekordy SPF, DKIM i DMARC oraz stosuj ogólne najlepsze praktyki dostarczalności poczty, aby pozostać poza listami po usunięciu z nich.
Najczęściej zadawane pytania
Czy bycie na liście Spamhaus PBL jest złe?
Samo w sobie nie. PBL obejmuje domowe i dynamiczne zakresy IP, które nie powinny wysyłać poczty bezpośrednio do internetu, więc wpis domowego lub biurowego adresu szerokopasmowego jest normalny i oczekiwany. Ma to znaczenie tylko wtedy, gdy prowadzisz serwer poczty wychodzącej na statycznym IP w tym zakresie, w którym to przypadku możesz poprosić o samoobsługowe wyłączenie.
Jak długo trwa usunięcie z Spamhaus?
Dla list samoobsługowych, takich jak PBL, XBL i CSS, usunięcie zwykle propaguje się w ciągu około 15 minut do godziny po zatwierdzeniu. Usunięcia SBL zależą od tego, czy najpierw zadziała Twój ISP lub właściciel sieci, więc mogą potrwać dłużej. Usunięcie utrzyma się tylko wtedy, gdy zaprzestaniesz aktywności, która wywołała wpis.
Dlaczego ciągle trafiam z powrotem na listę Spamhaus?
Ponowny wpis niemal zawsze oznacza, że pierwotna przyczyna jest wciąż aktywna. Częstymi winowajcami są przejęty serwer lub konto e-mail, kupione lub nieaktualne listy trafiające w pułapki spamowe albo wysokie wskaźniki skarg i odbić. Usuń leżący u podstaw problem, wyczyść swoją listę i zabezpiecz systemy, zanim ponownie poprosisz o usunięcie wpisu.
Czy Spamhaus DBL wpisuje moją domenę wysyłkową, czy linki wewnątrz mojego e-maila?
DBL może wpisać jedno albo drugie. Wymierzona jest w każdą domenę o kiepskiej reputacji, która pojawia się w wiadomości, w tym domenę w Twoim adresie From, Twoje linki lub domeny, do których te linki przekierowują. Jeśli wpisana zostanie współdzielona domena śledzenia linków lub skracania URL, Twoja poczta może zostać przefiltrowana, nawet gdy Twoja własna domena jest czysta.
Spamhaus reaguje na to, jak faktycznie zachowuje się Twoja poczta, a to zachowanie zaczyna się od poprawnego uwierzytelniania i zgodności. Uruchom darmowe skanowanie swojej domeny za pomocą SPFWise, aby potwierdzić, że Twoje SPF, DKIM i DMARC są prawidłowo skonfigurowane, dzięki czemu pozostaniesz poza listami blokad i zachowasz swoją pocztę w skrzynce odbiorczej.