記錄一下對反垃圾郵件的UCEProtect項目的了解

編輯：狂族晨曦來源：經(jīng)驗雜筆日期：2024-11-15 閱讀： 984 次 1 條評論 » 百度已收錄

最近有客戶反饋他們發(fā)郵件被攔截了，經(jīng)過與郵件服務商確認，反饋是發(fā)件IP被列入了UCEProtect黑名單，找我們解決。拿到這個問題先森是一臉懵，連忙去搜UCEProtect到底是個什么玩意，但是看搜索結果也只是了解了一個大概，不知道客戶的問題是否與我們有關，最終還是找到了解反濫用的同學，才對UCEProtect有了一些了解，這里大概記錄一下。

首先是一些概念性的東西，Anti-abuse（反濫用）是公有云服務提供商對其名下IP網(wǎng)段資源進行管控和治理的綜合工作，旨在保護其網(wǎng)絡服務和資源的reputation（名譽），而Anti-spam（反垃圾郵件）是anti-abuse工作的一部分，其中UCEProtect就是第三方anti-spam服務提供商/平臺之一，其他類似的還有Spamhaus、Spamcop和MAPS聯(lián)盟旗下的TrendMicro等。

黑名單查詢

官網(wǎng)查詢黑名單 -1

官網(wǎng)查詢黑名單

在UCEProtect的官網(wǎng)首頁點擊“Test and remove listings.”即可進入到IP/ASN的查詢界面，在這里可以輸入IP進行查詢，可以通過查詢結果判斷黑名單情況。

UCEProtect的黑名單有3個等級，level1到3，其中，level1是針對IP的黑名單，level2是針對該IP所屬的IP段的黑名單，level3是針對該IP所屬服務商（ASN）的黑名單，只要上了任意級別的黑名單，發(fā)郵件就會受到影響，而看UCEProtect的說明，如果是level2和level3的黑名單，他們建議用戶向供應商投訴或者選擇其他供應商。

案例分析

概念性的東西挺多，還是拿案例來分析才能更好理解。

在知乎上看到有人發(fā)了一個使用的IP，先森就拿這個IP做分析：https://www.uceprotect.net/en/rblcheck.php?ipr=61.135.130.240

level1分析

IP查詢案例 -2

IP查詢案例

首先是看level1這部分，除非是該IP真的有發(fā)送垃圾郵件，不然一般情況下這個等級中的status都是“NOT LISTED（未列出）”，也就是沒有在黑名單中，網(wǎng)站也有顏色提醒，綠色表示沒問題。

右邊有個橙色的風險，提示DNS有高風險。這個是因為UCEProtect會去查該IP的PTR（反向地址解析）記錄（上圖第3部分），然后再通過反查獲取到的域名去查詢A記錄，判斷域名的A記錄IP是否與查詢IP相同，如果不相同，就會存在這個風險。

PTR查詢方式：Windows使用nslookup IP命令，Linux可以用dig -x IP命令。

PTR查詢 -3

PTR查詢

如果level1這部分status為“LISTED”，背景為紅色，那么就是上黑名單了，一般情況下，level1這個級別的黑名單會在最后一次發(fā)現(xiàn)濫用的7天后自動刪除。有些業(yè)務會認為7天時間太長了，需要趕緊解除黑名單，UCEProtect有提供“快速退出”服務，這個需要給錢，但由于先森這邊沒有l(wèi)evel1級別的黑名單IP案例，所以先森不知道level1級別是否有提供“快速退出”服務。

level2分析

level2黑名單分析 -4

level2黑名單分析

level2這部分就可以看到，status這部分有個16的網(wǎng)段處于黑名單中（標簽①），且提供了“快速退出”服務（標簽③），根據(jù)UCEProtect的描述，“快速退出”服務是由第三方服務商提供的，所以無法免費。先森看了一下，level2級別黑名單快速退出服務需要支付249CHN瑞士法郎（約為2040元），level3需要449CHN瑞士法郎（約3678元），這個錢，看起來是誰都可以支付，但是UCEProtect的建議是聯(lián)系服務商，讓服務商處理，或者干脆更換服務商。

那么是怎么進入的黑名單呢，主要就是看上圖標簽②部分。

“Impacts in this net within the last 7 days”直譯過來是“過去7天內對該網(wǎng)絡的影響”，看了一下UCEProtect對level2的策略，這個大概就是過去7天內，該網(wǎng)段內檢測到了多少垃圾郵件，而在這一項的左側有一項“Level 1 listed abusers within the last 7 days”，就是過去7天內有多少個Level 1黑名單IP，這些IP可能產生了大量的垃圾郵件。

“Level 2 Escalation limit by Impacts”直譯過來“2級影響升級限制”，這個就是是否上黑名單的閾值了。用圖中的案例來說，這個值是96，而“Impacts in this net within the last 7 days”的值是252，遠遠大于96，所以61.135.0.0/16網(wǎng)段就上黑名單了，要降下來就需要將252這個值降低到96以內。

level3

level3黑名單分析 -5

level3黑名單分析

level3級就是IP服務商的黑名單了，黑名單的規(guī)則實際上是比較復雜的，但就使用者而言，我們只需要關注他的Status狀態(tài)，再了解一下距離脫離黑名單或上黑名單有多遠即可。

level3與level2類似，比對的是“Impacts from Level 1”和“Level 3 Escalation limit by Impacts”的值，“Level 3 Escalation limit by Impacts ”是閾值，“Impacts from Level 1”的值超過該值那就上黑名單，低于該值則會自動免費刪除（看說明應該是不用等7天）。

level3還有一個Spamscore垃圾郵件分數(shù)的值，看文檔該值的計算公式為(Level 1 impacts from this ASN / total IPs in this ASN) * 100000，即該ASN的level1影響數(shù)除以該ASN的IP總數(shù)，再乘以10萬，UCEProtect認為好的服務商應該保持SPAMSCORE在10以下。

狀態(tài)等級

黑名單的狀態(tài)等級 -6

黑名單的狀態(tài)等級

雖然只需要關心3個等級中是否已經(jīng)上黑名單，即status是否為紅色LISTED，綠色的“NOT LISTED”表示沒有問題，但是status除此之外還有一些其他的情況。先森看了一下，沒有找到相關的文檔，上面也說了，這個狀態(tài)和檢測到的垃圾郵件情況（影響）與閾值的占比有關，先森自己測算了一下，各種狀態(tài)的情況大概如下

status	背景顏色	影響/閾值的占比
NOT LISTED	綠色	0
ATTENTION Increased Listingrisk	黃色	(0,50%)
WARNING High Listingrisk	橙色	[50%,75%)
ALERT Extreme Listingrisk	淡紅色	[75%,100%)
LISTED	大紅色	[100%,+∞)