郵件服務(wù)器被列入黑名單的解決辦法黃福 ，何黎明,1．江西鐵通計(jì)費(fèi)中心 江西 3300022. 江西省政務(wù)信息網(wǎng)網(wǎng)管中心 江西 330046 12隨著企業(yè)郵箱在企事業(yè)單位的廣泛應(yīng)用，讓廣大企事業(yè)單位

郵件服務(wù)器被列入黑名單的解決辦法

黃福 ，何黎明,

1．江西鐵通計(jì)費(fèi)中心 江西 330002

2. 江西省政務(wù)信息網(wǎng)網(wǎng)管中心 江西 330046 12

隨著企業(yè)郵箱在企事業(yè)單位的廣泛應(yīng)用，讓廣大企事業(yè)單位最頭疼的事情就是自己企業(yè)的郵件服務(wù)被莫名的列入黑名單，讓好好的一個(gè)郵件系統(tǒng)不能正常使用。我們單位的郵箱也碰到過這樣讓人很郁悶的事情。為了能讓單位的郵件服務(wù)器從黑名單中去除，讓郵件系統(tǒng)正常工作，我在將近一個(gè)月的時(shí)間里做了大量的工作，總算讓郵件服務(wù)器恢復(fù)正常了。下面我就簡(jiǎn)單介紹讓郵件系統(tǒng)恢復(fù)正常我做了哪些工作，在這之前我認(rèn)為有必要先介紹下郵件黑名單是怎么回事，這樣大家對(duì)我所做的工作會(huì)有一個(gè)更好的理解。

1、什么是郵件黑名單？

隨著互聯(lián)網(wǎng)的不斷普及和擴(kuò)大，在它帶給人們方便的時(shí)候，也給了一些黑客從事非法活動(dòng)提供了很隱蔽的方式。黑客經(jīng)常利用一些木馬、病毒程序從事非法活動(dòng)，對(duì)企事業(yè)單位經(jīng)常會(huì)造成不可想象的損失。而這些可惡的木馬、病毒程序常常隱藏在郵件當(dāng)中，而這些郵件我們稱之為垃圾郵件。為了讓垃圾郵件對(duì)人們?cè)斐傻膿p失降到最低，人們使用了各種辦法，其中一個(gè)辦法就在全球建立了多個(gè)反垃圾郵件的網(wǎng)站，這些網(wǎng)站制定一些垃圾 郵件檢測(cè)規(guī)則，凡是屬于這些規(guī)則的郵件都屬于垃圾郵件，當(dāng)來自一個(gè)郵件服務(wù)器的垃圾郵件過多時(shí)，這些網(wǎng)站就會(huì)將這個(gè)郵件服務(wù)器列入黑名單，禁止這個(gè)郵件服務(wù)器向外發(fā)送郵件。

2、如何確定郵件服務(wù)器被列入黑名單？

通過上一段的介紹，大家應(yīng)對(duì)郵件黑名單有個(gè)大致的了解，那怎么樣才知道自己企業(yè)郵件服務(wù)器被列入黑名單了呢？方法很簡(jiǎn)單，當(dāng)某天你發(fā)郵件時(shí)，接收方告知你沒有收到你發(fā)的郵件，這時(shí)你應(yīng)該立刻進(jìn)入你的郵箱收件列表，這時(shí)如果你的收件列表有一封由一封來至企業(yè)郵箱服務(wù)器發(fā)給你的錯(cuò)誤信息郵件（標(biāo)題類似：failure notice），打開該郵件，正文會(huì)列出一段英文信息：Hi. This is the deliver program at x.com(郵件服武器域名)I'm afraid I wasn't able to deliver your message to the following addresses.This is a permanent error; I've given up. Sorry it didn't work out.abc@x.com(發(fā)件人的郵箱)550 #5.7.1 Your access to submit messages to this e-mail system has been rejected.--- Attachment is a copy of the message.這些英文信息表示你的服務(wù)器可能出現(xiàn)問題，不能將郵件投遞出去。如果你郵件里真出現(xiàn)了上面所講的郵件，那么恭喜你，你們企業(yè)郵件服務(wù)器十有八九被某個(gè)反垃圾網(wǎng)站列入了黑名單，這個(gè)時(shí)候你馬下進(jìn)入下面這個(gè)地址網(wǎng)站：http://www.spamhaus.org/lookup.lasso，出現(xiàn)如下圖所示：

在中國大陸的郵件服務(wù)器如果被列入黑名單，一般會(huì)在這個(gè)網(wǎng)站上查找得到。要確認(rèn)自己企業(yè)郵件服務(wù)器是否被列入了黑名單，在Enter an IP Address 輸入框內(nèi)輸入你郵件服務(wù)器的IP 地址，點(diǎn)擊Lookup 按鈕查詢你的郵件服務(wù)器IP 是否被列入了黑名單，如下圖所示：

在上圖顯示的查詢結(jié)果中，出現(xiàn)了“59.55.125.83 is not listed in the SBL” 、“59.55.125.83 is listed in the PBL, in the following records:PBL201019”、“59.55.125.83 is not listed in the XBL”三行信息。這三行信息表示我們所查

詢的IP 地址不在SBL 、XBL 黑名單列表中，而在PBL 列表中。那么SBL 、XBL 、PBL 究竟是什么呢？我們這里做個(gè)簡(jiǎn)單的介紹。

SBL(The Spamhaus Block List)：它是已經(jīng)經(jīng)過驗(yàn)證的垃圾郵件源及確有垃圾郵件發(fā)送行為的實(shí)時(shí)黑名單列表。它也是spamhaus 最主要的項(xiàng)目之一，由分布在全世界9個(gè)國家 的, 每周7天，每天24小時(shí)進(jìn)行列入新記錄和刪除記錄的工作。所以，這個(gè)列表可信度高使用人數(shù)也多。如果你被列入算是嚴(yán)重事件，被列入后，需要你的 ＩＳＰ（電信或是網(wǎng)通）的ＩＰ管理人員去和Spamhaus 聯(lián)系才有可能移除。

XBL(Exploits Block List)：它是針對(duì)因?yàn)榘踩珕栴}被劫持（比如僵尸機(jī)）或是蠕蟲/病毒，帶有內(nèi)置式垃圾郵件引擎和其他類型的木馬來發(fā)垃圾郵機(jī)器的實(shí)時(shí)黑名單ＩＰ列表。它 的數(shù)據(jù)主要來源于兩個(gè)合作組織：cbl.abuseat.org 及www.njabl.org. 因?yàn)楸涣腥隭BL 的服務(wù)器大多為被第三方劫持利用，所以有可能導(dǎo)致誤判斷。

PBL(The Policy Block List):它主要是包含動(dòng)態(tài)ＩＰ及哪些允許未經(jīng)驗(yàn)證即可發(fā)送郵件的ＳＭＴＰ服務(wù)器的ＩＰ地址段。這一個(gè)列表最明顯的特點(diǎn)就是提供了一個(gè)ＩＰ地址移除的自 助服務(wù)，ＩＰ它列入后，可以自己申請(qǐng)移除。所以就算是被PBL 列入，影響并不大，請(qǐng)要使用移除功能移除即可。

3、如何將郵件服務(wù)器從黑名單中移除？

如果你們企業(yè)郵件服務(wù)器IP 被列入了SBL 、XBL 、PBL 中任意一個(gè)說明被列入了黑名，從而導(dǎo)致郵件發(fā)送不出去。那么如何將企業(yè)郵件服務(wù)器從黑名單列表中移除，使郵件服務(wù)器恢復(fù)正常。下面我就以我本人的經(jīng)歷講述我是如何使我們企業(yè)郵件服務(wù)器從黑名單列表中移除。

當(dāng)我發(fā)現(xiàn)我們單位郵件服務(wù)器發(fā)送郵件，發(fā)送不去的時(shí)候，并收到郵件服務(wù)器報(bào)錯(cuò)郵件，我立馬感覺我們郵件服務(wù)器可能被列入了黑名單，我馬上進(jìn)入spamhaus 網(wǎng)站查詢，結(jié)果發(fā)現(xiàn)我們郵件服務(wù)器IP 被列入了PBL 黑名單了。為了解除PBL 黑名單列表，我立馬點(diǎn)擊”59.55.125.83 is listed in the PBL”下面”PBL201019“，進(jìn)入申請(qǐng)移除步驟, 如下圖：

點(diǎn)擊上圖”Remove an IP from PBL”按鈕，進(jìn)入下一步，選擇”I have read and I have understood this page“表示對(duì)這些協(xié)議已經(jīng)清楚了，然后點(diǎn)擊”Remove IP Address...“按鈕，進(jìn)入下一步, 如下圖：

填寫上圖列出的一些信息，這里要特別提醒注意的是，在“IP Address to remove”信息框內(nèi)填寫的是要從黑名單列表中刪除的郵件服務(wù)器IP 地址；在“Your Email Address” 的信息框內(nèi)填寫申報(bào)人的郵箱，該郵箱必須是該企業(yè)的一個(gè)郵箱。填寫完相關(guān)信息，點(diǎn)擊”Submit”提交，進(jìn)入下一個(gè)步驟，并在“Enter your 5-digit code”中輸入5位數(shù)字，這5位數(shù)字從哪獲得，就是從上一步中我們填寫郵箱中獲得，最后點(diǎn)擊”Finish”按鈕完成申請(qǐng)流程。

4、總結(jié)

在我完成移除黑名單申請(qǐng)后一天，我們單位的企業(yè)郵箱恢復(fù)了正常。正當(dāng)我以為這個(gè)問題已經(jīng)解決了的時(shí)候, 一個(gè)星期之后我們單位的企業(yè)郵箱又出現(xiàn)了發(fā)不了郵件的情況，現(xiàn)象和之前出現(xiàn)的情況一樣。于是我又按前面方法再次將企業(yè)郵件服務(wù)器從黑名單中刪除，可是沒過多久郵件又發(fā)不出去了，就這樣來來回回折騰了好幾次，最后我想這不是解決辦法，于是我就到網(wǎng)上查找了相關(guān)資料。資料上講述如果企業(yè)郵件服務(wù)器多次被列入黑名單，很可能是企業(yè)內(nèi)部有電腦中毒了，自動(dòng)向外發(fā)送垃圾郵件，所以就導(dǎo)致企業(yè)郵件服務(wù)器反復(fù)被列入黑名單，必須找出中毒的電腦，將病毒清除干凈。于是我就利用抓包軟件，對(duì)單位內(nèi)網(wǎng)發(fā)往外部的數(shù)據(jù)流進(jìn)行抓包分析，對(duì)分析有問題的數(shù)據(jù)，我跟蹤到電腦，并將該電腦做一個(gè)徹底清理。經(jīng)過對(duì)單位電腦徹底清查，并對(duì)所有電腦做了安全加固，我再一次提交申請(qǐng)解除黑名單。

可是這次提交申請(qǐng)解除黑名單后，沒過多久又出現(xiàn)了郵件發(fā)不出去的情況，于是我懷疑是不是單位又有哪些電腦中毒了，于是我又通過抓包分析，可是經(jīng)過分析并沒有發(fā)現(xiàn)異常數(shù)據(jù)，這讓我十分郁悶，到底是怎么回事呢？為了找出原因所在，我通過找資料，請(qǐng)教高人，終于發(fā)現(xiàn)了癥結(jié)所在。

這里我先簡(jiǎn)單介紹下我們單位關(guān)于郵件服務(wù)器部署的一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)。我們的郵件服務(wù)器部署在防火墻內(nèi)部，自己本身網(wǎng)卡配置的內(nèi)部IP(這里簡(jiǎn)稱IPn1) ，在防火墻上配置了一個(gè)外網(wǎng)IP （這里簡(jiǎn)稱IPw1）與IPn1對(duì)應(yīng)。另外在防火墻上配置了一個(gè)出口默認(rèn)外網(wǎng)IP （這里簡(jiǎn)稱IPw2）, 所有防火墻內(nèi)部電腦和服務(wù)器（包括郵件服務(wù)器）向外發(fā)送消息都通過IPw2，而單位外部的郵件則發(fā)送給IPw2，再通過防火墻轉(zhuǎn)發(fā)到IPn1。

通過上面的介紹，大家可能認(rèn)為這樣一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該沒有什么問題，但是我們仔細(xì)看就會(huì)發(fā)現(xiàn)問題。郵件服務(wù)器發(fā)郵件時(shí)是通過IPw2出去的，而收郵件確實(shí)通過IPw1，這就造成了一臺(tái)郵件服務(wù)器擁有兩個(gè)不同的外 網(wǎng)IP. 這就無意中造成了郵件IP 欺騙情況，對(duì)于郵件IP 欺騙的情況反垃圾郵件網(wǎng)站都會(huì)將其列入黑名單中。

在知道真正原因之后，我立馬在防火墻上修改了配置，讓郵件服務(wù)器收發(fā)都走IPw1, 這樣就避免了形成郵件IP 欺騙的情況。

通過上面的工作，郵件服務(wù)器再也沒有出現(xiàn)發(fā)不出郵件的情況，至此郵件服務(wù)器被列入黑名單的問題徹底解決。

作者：黃福

簡(jiǎn)歷：工程師，江西鐵通計(jì)費(fèi)網(wǎng)絡(luò)系統(tǒng)維護(hù)。

詳細(xì)通信地址：南昌市二七西街53號(hào)

郵編：330002

聯(lián)系電話：13767102998

E-mail ：huangfu0614@163.com

作者：何黎明

簡(jiǎn)歷：工程師，負(fù)責(zé)江西省政務(wù)信息網(wǎng)骨干網(wǎng)的設(shè)計(jì)規(guī)劃與維護(hù)。 詳細(xì)通信地址：南昌市省府大院西二路3號(hào)江西省信息中心網(wǎng)絡(luò)部 郵編：330046

聯(lián)系電話：13807044628

E-mail ：