Knowledge Base

IP-адрес в спам-листах: диагностика и делистинг

Что означает попадание IP в blacklist

Категория: Incident Response · Риск: high

Что означает попадание IP в blacklist

DNSBL/RBL — это списки IP-адресов, которые замечены в спаме, вредоносной активности, open relay, компрометированных формах или подозрительном сетевом поведении. Для сайта это обычно не ломает HTTP-доступ напрямую, но влияет на доверие к инфраструктуре:

Важно: сначала устраняют причину, потом подают заявку на удаление. Если сделать наоборот, IP часто возвращается в blacklist.

Быстрый порядок действий

1. Зафиксируйте IP и конкретный blacklist из отчёта. 2. Проверьте, не идёт ли рассылка с VPS. 3. Закройте лишние SMTP-порты. 4. Проверьте сайт на компрометацию форм, CMS, cron и API-ключей. 5. Настройте SPF, DKIM, DMARC. 6. Подайте delisting request в конкретной DNSBL. 7. Повторите проверку через 24–72 часа.

Проверка DNSBL вручную

DNSBL обычно проверяются через обратную запись IP. Для IP `162.248.224.54` обратная форма будет `54.224.248.162`.

Пример для Barracuda:

dig +short 54.224.248.162.b.barracudacentral.org

Если ответ пустой, IP не найден в этой базе. Если возвращается адрес вида `127.0.0.x`, IP найден.

Примеры для других баз:

dig +short 54.224.248.162.zen.spamhaus.org
dig +short 54.224.248.162.bl.spamcop.net

Смотрите именно те базы, которые указаны в отчёте. Разные DNSBL имеют разные причины листинга и разные процедуры удаления.

Проверка SMTP-поверхности VPS

Если сайт не должен быть почтовым сервером, SMTP-порты лучше закрыть:

sudo ss -tulpen | grep -E ':(25|465|587)\s'
sudo ufw deny 25/tcp
sudo ufw deny 465/tcp
sudo ufw deny 587/tcp

Если почта действительно нужна, убедитесь, что сервер не является open relay, а отправка ограничена авторизованными пользователями и лимитами.

Проверка логов

Для Postfix:

sudo journalctl -u postfix --since "24 hours ago"
sudo grep -iE "sasl|reject|relay|status=sent|auth" /var/log/mail.log | tail -200

Для Exim:

sudo grep -iE "cwd=|auth|rejected|completed" /var/log/exim4/mainlog | tail -200

Для веб-приложения:

sudo journalctl --since "24 hours ago" | grep -iE "mail|smtp|sendmail|php mail|password reset" | tail -200

Подозрительные признаки:

SPF, DKIM и DMARC

Минимум для домена:

example.com.        TXT "v=spf1 include:_spf.provider.example ~all"
_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"

DKIM выдаётся почтовым провайдером и публикуется как TXT-запись вида:

selector._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=..."

Если сайт не отправляет почту с VPS, лучше не использовать VPS как SMTP-источник. Отправляйте транзакционные письма через отдельный почтовый сервис с SPF/DKIM/DMARC и лимитами.

Delisting: как подавать заявку

Подавайте заявку только после исправления причины.

В заявке обычно достаточно указать:

Для популярных баз:

Если сайт проксируется через Cloudflare

Cloudflare proxy может скрыть origin IP для HTTP/HTTPS и убрать проблему web-репутации из части внешних проверок. Но это не лечит почтовую репутацию VPS, потому что SMTP-трафик через обычный Cloudflare proxy не проходит.

Для сайта:

Пользователь -> Cloudflare -> VPS origin

Для почты:

Почтовый сервис -> MX / SMTP provider

Если IP в blacklist из-за почты, исправляйте именно почтовую инфраструктуру или переносите отправку на специализированного провайдера.

Когда лучше сменить IP

Смена IP оправдана, если:

Но даже при смене IP нужно закрыть исходную причину. Иначе новый адрес тоже попадёт в blacklist.