Ho scoperto che uno degli indirizzi IP ai nomi di dominio della mia azienda è stato assegnato alla lista nera. È un nuovo dominio e indirizzo per noi. Non ci sono siti Web collegati, ma molto spesso le e-mail che utilizzano quell'indirizzo vengono filtrate.
Ulteriori indagini hanno dimostrato che l'intero blocco di indirizzi IP è in blacklist, ad es. 123.456.789.x
Perché un intero blocco dovrebbe essere inserito nella lista nera?
Probabilmente è dovuto a un paio di motivi:
Il blocco IP è stato precedentemente assegnato a qualcuno che lo utilizzava per inviare spam o diffondere malware.
Il blocco IP appartiene a un paese dal quale il sito / azienda non vuole connessioni - generalmente fatto per paesi che hanno una quantità molto elevata di traffico malevolo proveniente da essi.
Sono stato coinvolto in incidenti in cui un utente malintenzionato utilizzava un particolare servizio cloud o provider VPS e il loro IP ruotava tra un intervallo imprevedibile di IP all'interno di un blocco CIDR. Quindi, invece di bloccare ogni IP così come appariva, abbiamo bloccato l'intero blocco CIDR finché l'aggressore non ha rinunciato.
È facile immaginare che qualcuno abbia usato la stessa tecnica e abbia semplicemente dimenticato di rivedere la regola di blocco.
Hai il controllo sull'intero blocco degli IP? O è condiviso con altri siti?
Alcune regole o servizi di filtraggio fanno automaticamente una lista nera di un intero blocco di classe C, basato su un'ipotesi proattiva che i cattivi ospiti provengano da quartieri malfunzionanti. Secondo me, una forma di "vigilante giustizia internet" piuttosto "colpevole fino a prova contraria".
Sì, a volte è logico escludere l'intero blocco, ma ho visto che più di una piccola azienda è stata messa fuori gioco perché un sito completamente non correlato con un indirizzo IP simile aveva uno script di forum compromesso. : - /
Questo potrebbe essere causato da qualsiasi potenziale infezione da malware sul tuo blocco di indirizzi IP a qualcuno che invia spam da tale indirizzo IP.
Puoi usare strumenti come i controllori della lista nera online per vedere quale servizio di blacklist lo ha fatto e perché. Uno di questi è: link
tl; dr Potrebbe essere un caso di malware o spam nella rete o semplicemente uso improprio da parte di qualcuno che utilizza l'indirizzo IP prima dell'acquisto del blocco.
Per essere onesti, non è davvero un intero "blocco". Questo è solo 255 indirizzi in / 24 sottorete, che è più sicuro da bloccare in quanto quasi tutte le organizzazioni possiedono sottoreti più grandi del blocco di indirizzi di 256. Come suggerisce @Adamlive, un indirizzo IP canaglia implica che almeno il blocco / 24 sia di proprietà di un utente malintenzionato. Pertanto, è meglio prevenire che curare.
Leggi altre domande sui tag blacklist