01 Feb 2020

SpamCop dimentica di rinnovare il dominio e i filtri antispam impazziscono

Lo scorso 30 gennaio abbiamo rilevato un incremento anomalo di errori di consegna email che, come spiegazione del rifiuto, facevano riferimento al blacklisting dell'IP mittente. Analizzando più in dettaglio è risultato presto evidente che la blacklist incriminata fosse SpamCop e che non si trattasse di un vero blacklisting voluto ma di un effetto collaterale dovuto ad un classico errore umano.

In sostanza SpamCop (dal 2007 gestito da Cisco) si è dimenticata di rinnovare il suo dominio che quindi è scaduto: spesso quando un dominio scade, come in questo caso, il registrar (il fornitore) modifica il DNS del dominio stesso per rispondere a qualunque richiesta con propri indirizzi che indicano che il dominio è scaduto.

Ponte rotto

Dopo circa 1 giorno sembra che il dominio sia stato rinnovato e i DNS ripristinati ma alcuni server di posta stanno continuando a rifiutare qualunque email ricevano.

Prima di affrontare un discorso tecnico sul perché questo problema in realtà non ha riguardato tutti i server che utilizzano SpamCop ma solo parte di essi per via di una configurazione errata, seppur diffusa, come per il problema che ha recentemente riguardato Gmail, valutiamo cosa significhi per chi ha mandato o ricevuto email in questi due giorni:

  • Se avete ricevuto nei due giorni scorsi errori che segnalavano il rifiuto della consegna del messaggio per via di un blacklisting dovete prendere in considerazione che potrebbero essere sbagliati ed indicare invece un problema del server ricevente, quindi verificate manualmente su SpamCop che il vostro IP in realtà non è bloccato e valutate se reinviare o meno eventuali messaggi rifiutati
  • Se invece, in maniera anomala, non avete ricevuto email in questi 2 giorni, allora forse il vostro server di posta utilizza SpamCop e non è configurato al meglio, motivo per cui dovreste assolutamente leggere il resto dell'articolo qui sotto, o inoltrarlo al vostro postmaster

Perché il problema ha riguardato solo quei server che non sono configurati correttamente?

SpamCop è una blacklist di indirizzi IP considerati sorgenti di spam. Tale lista viene interrogata tramite il protocollo DNS, che è una sorta di servizio di elenco telefonico/pagine gialle che dato un indirizzo testuale dice dove si può "fisicamente" trovare il server che lo gestisce, ovvero il suo indirizzo IP (non è proprio così, ma mica vorrete il pippone sul modello ISO/OSI, qui, no?). In pratica è similare a ciò che succede quando si cerca il numero di telefono di una persona nell'elenco del telefono, sempre che qualcuno si ricordi di questo oggetto del secolo scorso. Il DNS quindi è una sorta di grandissimo elenco distribuito e decentralizzato strutturato per gestire grossi volumi, per gestire la propagazione controllata degli aggiornamenti e tanti altri meccanismi che lo rendevano perfetto per gestire queste liste nere. Col termine DNSBL si intede proprio "DNS Blackhole List" e, in genere, si parla di blacklist di indirizzi IP.

Una interrogazione di una blacklist come SpamCop, ad esempio per sapere se l'indirizzo IP A.B.C.D sia bloccato, viene fatta chiedendo via DNS a quale indirizzo IP corrisponde l'indirizzo D.C.B.A.bl.spamcop.net.  : se SpamCop risponde con uno specifico indirizzo IP, in particolare 127.0.0.2, che è un indirizzo che non corrisponde ad un indirizzo pubblico su internet, significa che l'indirizzo è in blacklist. Se invece l'IP non è in blacklist allora SpamCop risponde che non conosce l'indirizzo richiesto.

Dal momento che quando l'indirizzo non è in blacklist viene risposto che l'host non è conosciuto alcuni software semplificano, erroneamente, la loro logica stabilendo che se non ricevono risposte allora l'indirizzo non è in blacklist mentre se ricevono qualunque risposta l'indirizzo è in blacklist.

Questo nella stragrande maggioranza dei casi funziona, tranne nel caso che è appena avvenuto, perché quando il dominio spamcop.net è scaduto il registrar ha modificato i suoi DNS per rispondere con dei record "wildcard", ovvero per fare in modo che qualunque richiesta nel formato qualcosa.spamcop.net fornisse l'IP di un server vero che spiega che il dominio è parked (parcheggiato) in attesa che il proprietario decida se vuole rinnovarlo o abbandonarlo. In questo caso quindi qualunque richiesta nel formato D.C.B.A.bl.spamcop.net. , per qualunque combinazione di A.B.C.D, restituiva un IP, e quindi se il software che fa l'interrogazione non controlla specificamente che la risposta corrisponda a 127.0.0.2 considera la risposta del dominio parcheggiato come una conferma che l'IP è in blacklist.

Quindi se il vostro server negli ultimi 2 giorni ha rifiutato tutte le email entranti dicendo che provenivano da IP bloccati da SpamCop probabilmente il vostro server è configurato male e dovete preoccuparvi di aggiornare la sua configurazione in modo che solamente la risposta 127.0.0.2 (o al limite altre risposte specificate dall'operatore della DNSBL che usate) venga considerata come blacklisting.

Sottolineiamo come questo problema sia tutt'altro che insolito e che questa volta è solo stato particolarmente eclatante perché ha riguardato una delle blacklist più diffuse, ma in realtà abbiamo già parlato in passato di problemi legati allo stesso identico meccanismo anche se in quel caso erano proprio blacklist abbandonate.

UPDATE 2020-02-02: non rileviamo più server che rifiutano messaggi, quindi è possibile considerare il problema risolto.

 

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)