217.125.0.0/16 is listed on the Policy Block List (PBL)

ter986
Yo probé el VDSL
217.125.0.0/16 is listed on the Policy Block List (PBL)

Buenas noches,

nuestra IP fija ha aparecido en 3 blacklist en un par de horas y no podemos enviar correos. Ya hemos solicitado la baja de las mismas pero hay como varias capas. En Spamhaus, tras dar de baja en la CBL, aparece otro problema que me hace pensar en que hay un rango completo de IPs de Telefónica con problemas y quiero saber si me podeis decir a que puede ser debido. No descarto que nosotros tengamos un equipo enviando spam y estamos trabajando para averiguarlo, pero esto del rango de IPs publicas afectado no me gusta. Quizas es que no entiendo el mensaje, que adjunto a continuación.

Gracias por la atención.

 

217.125.0.0/16 is listed on the Policy Block List (PBL)



Outbound Email Policy of Telefónica for this IP range:

It is the policy of Telefónica that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server allocated to Telefónica customers. To find the hostname of the correct mail server to use, customers should consult the original signup documentation or contact Telefónica Technical Support.

Etiquetas (2)
Mensaje 1 de 23
5.742 Visitas
22 RESPUESTAS 22
sintfron
Entre al s.XXI con GPRS

ter986 escribió:

Buenas noches,

nuestra IP fija ha aparecido en 3 blacklist en un par de horas y no podemos enviar correos. Ya hemos solicitado la baja de las mismas pero hay como varias capas. En Spamhaus, tras dar de baja en la CBL, aparece otro problema que me hace pensar en que hay un rango completo de IPs de Telefónica con problemas y quiero saber si me podeis decir a que puede ser debido. No descarto que nosotros tengamos un equipo enviando spam y estamos trabajando para averiguarlo, pero esto del rango de IPs publicas afectado no me gusta. Quizas es que no entiendo el mensaje, que adjunto a continuación.

Gracias por la atención.

 

217.125.0.0/16 is listed on the Policy Block List (PBL)



Outbound Email Policy of Telefónica for this IP range:

It is the policy of Telefónica that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server allocated to Telefónica customers. To find the hostname of the correct mail server to use, customers should consult the original signup documentation or contact Telefónica Technical Support.


Estas acertado con el rango de IPs bloqueadas puesto que 217.125.0.0/16 va desde 217.125.0.1 hasta 217.125.255.254. Todo ese rango de IP esta en dicha lista.

 

El mensaje que viene a continuacion es para confirmarte el porque de dicho rango esta incluido. Segun PBL es debido a la politica de telefonica que tiene con el correo saliente. Segun dicha lista, la politica de telefonica permite enviar emails sin autentificarse desde ese rango de direcciones IPs y que para enviar un correo normal se deberia usar el servidor que tiene telefonica. Y por ultimo termina diciendo que o bien consultes las guias para un uso correcto del envio de emails o bien que contactes con el soporte tecnico de telefoncia.

 

Y ahora en cristiano. Los servidores de correo por desgracia y por ser antiguos tienen muchos fallos. Esto es normal, cuando se creo el estandar POP/SMTP/IMAP nadie sabia que iba a ser tan decisivo el correo electronico. Pasa lo mismo con la web .Dichos fallos se han ido corrigiendo a lo largo del tiempo mediante tecnicas para evitar dichos fallos. Igual que antes la web se veia plana ahora cuando conectas con tu banco enseguida aparecen los certificados de seguridad que te indican que usaras un canal seguro y demas.

 

Pues un correo en el fondo aunque parezca increible se envia en texto plano desde el emisor hasta el receptor, pasando por el mensaje. Los servidores actuales obligan a que el usuario loguee con su direccion y su contraseña  y una vez que se ha autorizado entonces se envia el emisor. Pero los antiguos siguen permitiendo que se ponga un emisor al azar y un receptor al azar.

 

Estas listas lo que hacen es investigar eso pero tienen un problema y es que como no saben como un proveedor, en este caso telefonica, reparte las IPs entre sus usuarios, lo que hacen es ir al registro del organismo que asigna las IPs a los proveedores, empresas y demas y consultar el bloque completo de direcciones asignadas. Y ese es tu problema que puedes estar en un rango sin que tu hayas hecho nada. El problema de estas listas tambien es que no hacen caso a los datos que el proveedor pone a disposicion de los usuarios para remitir abusos en la red. Simplemente esperan a que el proveedor se ponga en contacto con ellos.

 

Resumiendo, detectan la IP de alguien mandando correos spam, basura... incluso sin intencionalidad, consultan el registro de quien tiene asignado el rango de esa IP , bloquean el rango completo de IPs y esperan a que el proveedor se ponga en contacto con ellos para solucionarlo.

 

Para mi es un fallo, porque seria al reves. Si yo recibo correos spam desde una direccion IP, consulto quien tiene ese rango asignado y TODOS los proveedores incluyen una direccion de correo para enviarles un correo diciendo este tio me esta friendo a mails. Y el proveedor es quien bloquea a dicha IP dejando el resto intactas.

 

No se si me explicado bien, espero que si.

Mensaje 2 de 23
5.727 Visitas
dfcnetwork
Yo probé el VDSL

Estoy de acuerdo con lo que ha dicho fraarra.

 

Como solucion alternativa envia los correos desde Gmail, Hotmail, etc...

 

El problema de la IP Fija es que esa IP es tuya y si se demuestra que el emisor del mensaje (la cabecera) corresponde a tu IP fija posiblemente puedas tener problemas.

 

Si tienes acceso a esos correos SPAM (Enviados) copia el codigo fuente del mensaje aqui http://www.levinecentral.com/mail_parse/default.aspx

 

Si usas Outlook el origen del mensaje sera la Ip fija + el nombre del equipo desde donde se envia.

 

Si usas Thunderbird el origen del mensaje será la IP fija

 

 

¿¿??
Mensaje 3 de 23
5.723 Visitas
sintfron
Entre al s.XXI con GPRS

dfcnetwork escribió:

Si el problema es el spam, es que el pc desde donde se produce el SPAM no tiene puesto un Anti-SPAM o Firewall.

 

Te recomiendo que instales AVG Internet Security (De prueba) y hagas un analisis en todos los ordenadores por si alguno se detecta que se envia SPAM.

 

Es logico que deberas desistalar el Antivirus anterior y instalar AVG Internet Security.


Tu no lees bien los posts. Te ha puesto un rango de IPs bloqueadas. ¿Por que va a ser la suya la que emita SPAM? A lo mejor es otra y han metido todos los registros en la blacklist usando los registros whois de RIPE.

 

Mensaje 4 de 23
5.718 Visitas
dfcnetwork
Yo probé el VDSL

Si, lo he leido y he modificado el texto.

¿¿??
Mensaje 5 de 23
5.713 Visitas
ter986
Yo probé el VDSL

Por lo que se, Exchange 2007 autentifica los correos salientes. Eso me hace pensar que igual no somos nosotros. Que mal rollo.

A no ser que tengamos un PC en la red que este pillado por un bot de estos y lo use para el envio masivo.

Mensaje 6 de 23
5.710 Visitas
ter986
Yo probé el VDSL

Gracias por la ayuda y vuestras ideas.

Espero que aparezca por aqui algun tecnico de Movistar que eche un poco mas de luz si tiene acceso a los datos internos y puede comprobar alguna cosa mas.

Aunque es una putada, espero que el problema no sea nuestro.

En cuanto tenga mas información la publico.

Mensaje 7 de 23
5.705 Visitas
sintfron
Entre al s.XXI con GPRS

dfcnetwork escribió:

Si, lo he leido y he modificado el texto.


Pues sigues sin entender. Que te lo explico no te preocupes. Imagiante que este usuario tiene la IP 217.125.1.1 para ponerlo muy sencillo.

 

El envia los correos perfectamente no tiene ningun problema. Imaginate que el ordenador que tiene la IP 217.125.1.2 esta infectado y se pone a enviar correos.

 

Que hacen los que crean las Blacklist, van al organismo RIPE y dicen a ver 217.125.1.2 de quien es? De Telefonica. Vale ¿Dame el rango que le has asignado? Y te dice pues 217.125.0.1 hasta 217.125.255.254. Y dicen perfecto pues todo ese rango envie correo, no lo envie, envien correo normal, spam, como si envian churros por correo BLOQUEADO.

 

El no tiene porque estar infectado. Si lo estuviera seria mas normal un mensaje de nemesys diciendole mira envias spam te vamos a cortar el correo hasta que no lo arregles. Pero no es Telefonica quien crea la lista. Es otro organismo y hay servidores que si usan dicha lista para decir mira todo lo que me venga que este incluido en la lista lo bloqueo.

 

Los datos son publicos de hecho mira poniendo 217.125.1.1 RIPE devuelve todo esto:

 

Como ves viene la red RIMA (Red IP MultiAcceso, nombres de telefonica),  a quien esta asignado Telefonica, el sistema autonomo (que si quieres te explico), quien es la persona de contacto, donde hay que ponerse en contacto con telefonica incluso fijate que en abuse-mailbox pone: nemesys@telefonica.es.

 

Lo que te decia antes, mucha gente lo que hace es eso. Coge la direccion de abuse y envia un correo que tal IP me esta friendo a mails. Y el operador bloquea la opcion de mandar mensajes (como puedes ver en este foro la cantidad de gente que dice que no puede enviar mails 😉 )

 

Sin embargo lo que hace las blacklist es coger el parametro route que justo coincide clavado con todo el rango baneado. En parte tiene su logica. Se supone que es tu conexion a Internet no vas a montar servidores de correo, ni nada por el estilo. Si quieres eso ya contratarias algo mas . Pero a veces pues meten la pata.

 

Ya que estamos Nemesys ¿por que diferenciais una conexion con IP dinamica de una estatica en el registro PTR inverso? ¿Que os paso hace unos años ;)?

Mensaje 8 de 23
5.703 Visitas
dfcnetwork
Yo probé el VDSL

No es necesario que esté infectado. Habría que comprobar desde cuando se produce, por lo menos yo recomendaría un analisis antivirus en todos los PCs que sospecha que tiene SPAM, si no hay troyanos el problema no es de ese usuario.

 

Cabe aclarar un detalle, si un usuario envia un correo hacia un servidor SMTP, comprobará su IP y si esa IP (o rango) esta asociada a una lista negra no podrá enviar correo, estas listas se actualizan constantemente.

 

Desconozco que servidor SMTP utiliza este usuario para enviar los correos asi que no puedo ayudar mucho.

 

 

¿¿??
Mensaje 9 de 23
5.687 Visitas
RAYDEN
Yo probé el VDSL

Segun lo veo yo aqui y en otros caso de NEMSYS estas cosas asi pasan por usar antivirus de movistar ........pero bueno cada uno elije lo que le parece!!

 

 

sl2


"Una vez dijo un sabio: Cuanto Menos Bulto Más Claridad"
Mensaje 10 de 23
5.685 Visitas
sintfron
Entre al s.XXI con GPRS

dfcnetwork escribió:

No es necesario que esté infectado. Habría que comprobar desde cuando se produce, por lo menos yo recomendaría un analisis antivirus en todos los PCs que sospecha que tiene SPAM, si no hay troyanos el problema no es de ese usuario.

 

Cabe aclarar un detalle, si un usuario envia un correo hacia un servidor SMTP, comprobará su IP y si esa IP (o rango) esta asociada a una lista negra no podrá enviar correo, estas listas se actualizan constantemente.

 

Desconozco que servidor SMTP utiliza este usuario para enviar los correos asi que no puedo ayudar mucho.


Yo es que creo que no lees pero el usuario ha dicho literalmente que usa Exchange 2007. Yo de verdad no tengo nada en contra tuya, creo que puedes ayudar, que tienes conocimientos, que puedes dar incluso consejos (porque a lo mejor resulta que el ordenador infectado tienes razon y es el de él)

 

Pero tio lee los posts que para eso lo ponen. Es que tu escribes como que el resto de posts de la cadena no tiene sentido. Y te pasan cosas como esta que desconoces el servidor SMTP que usa y el ya lo ha dicho dos posts antes.

 

De buen rollo, un saludo

Mensaje 11 de 23
5.682 Visitas
dfcnetwork
Yo probé el VDSL

Que yo sepa este usuario no ha dicho que antivirus utiliza ni el antivirus fuese de movistar.

 

Si yo fuera ese usuario lo que haria sera poner un antivirus con firewall y que cada vez que se envie un correo se autorice por el firewall, asi se evitan problemas.

 

Yo en mi caso lo tengo tengo puesto asi, cada vez que me conecto a internet me sale un mensaje autorizando por ejemplo que Google Update se conecte a internet para actualizar el navegador y lo tengo que denegar cada vez.

 

Ahora lo tengo puesto para que bloquee las conexiones no autorizadas, ademas de hacerme una cuenta de usuario en vez de usar el de administrador.

 

PD: No uso Exchange 2007 Server (ni lo necesito). Tampoco es que haya trabajado en empresas que usan este tipo de software, lo maximo que he visto son servidores de correo bajo linux.

 

 

 

 

 

 

 

¿¿??
Mensaje 12 de 23
5.681 Visitas
sintfron
Entre al s.XXI con GPRS

RAYDEN escribió:

Segun lo veo yo aqui y en otros caso de NEMSYS estas cosas asi pasan por usar antivirus de movistar ........pero bueno cada uno elije lo que le parece!!

 

 

sl2


La blacklist es externa a Movistar. Otra cosa es los bloqueos que hace Nemesys a los usuarios de Movistar. Me imagino que los haran en funcion de la cantidad de correos sin sentido que envian por el puerto 25, 26, 465... vamos los normales.

 

Pero de esto si que no tiene la culpa Movistar. Es como ahora que no hay iluminacion en mi zona. A lo mejor el cable se ha roto 5 calles mas abajo pero tambien pago yo las consecuencias. Otra cosa es que me digan oye que te has puesto una farola que da 2000W de portencia y nos ciegas y venga el alcalde a quitarmela.

 

Un saludo figura 😉

Mensaje 13 de 23
5.680 Visitas
sintfron
Entre al s.XXI con GPRS

Una pregunta para el titulo de post. Me imagino que teneis un dominio con una DNS configuradas no se si desde el propio dominio o bien redireccionadas a un servidor DNS vuestro.

 

Me imagino tambien que teneis un registro MX para intercambio de correo. Pero una pregunta ¿Teneis la resolucion inversa de DNS (rDNS)? Con eso se os soluciona la mayoria de los problemas para enviar correos puesto que si la direccion MX y la excepcion del registro reverso de DNS es la misma, muchos servidores SMTP si que aceptan los correos.

 

De hecho DomainKeys o SendId se basan en eso (y como tienes exchange usas SendID). Domain Keys lo usa Google por ejemplo.

Mensaje 14 de 23
5.676 Visitas
ter986
Yo probé el VDSL

EL rDNS esta correctamente configurado, lo pedi aqui y me lo hicieron hace, creo, un año aprox.

 

Sobre el antivirus no usamos el de Telefonica, es NOD32, sin firewall. Como firewall, usamos el de Windows.

 

El problema que tengo es que los PCs estan apagados y solo puedo trabajar en los servidores. Hasta el momento parecen limpios y no he detectado trafico extraño, aunque sigo monitorizando puertos. Igual por la mañana cuando enciendan la cosa cambia.

Mensaje 15 de 23
5.661 Visitas
sintfron
Entre al s.XXI con GPRS

Oye pues suerte y que te lo miren los de Nemesys. Yo es que no tengo acceso a los sistemas de red de Telefonica. Solo te puedo dar consejo. Pero seguro que mañana te lo miran en un periquete 😉

Mensaje 16 de 23
5.658 Visitas
JoseCarlos-Movistar
Experto en Ciberfraude

Buenos días ter986,  bienvenido a este foro

Envíanos un privado aportándonos la IP y los correos de rechazo.

Saludos.


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 17 de 23
5.581 Visitas
ter986
Yo probé el VDSL

Te envié un privado el 24-10 a las 14:40.

 

Un saludo.

Mensaje 18 de 23
5.551 Visitas
ter986
Yo probé el VDSL

Tras dar de baja todas las blackists los correos en cola han salido y se ha trabajado todo el día sin problemas.

A ultima hora de hoy la cola del Exchange se ha vuelto a llenar y no había manera de que salieran los mensajes (black lists comprobadas, las de ayer siguen OK, pero en otra pagina he encontrado 2 nuevas, que ayer no consulte y el problema se arregló y donde dicen que estamos en ellas desde ayer. solicito las bajas y ya llegaran porque van por e-mail).

Tras un ratazo dando vueltas por internet, leyendo y revisando en un foro de Microsoft alguien comentaba que tuvo un problema asi por un problema del ISP, no daba mas datos, pero eso (que en fondo ya lo sabía, pues sea como sea, si el ISP tiene tropecientas IPs denunciadas falsamente, el problema lo es suyo) me ha hecho darme cuenta que una prueba simple y crucial no la había hecho (decidme tontooo): apuntar la gateway del servidor de correo a un segundo adsl que hay en la empresa (risas).

 

Funciona. El rango es completamente distinto al del otro adsl ... que esta pasando?

 

Espero que cuando Jose Carlos se ponga en ello lo averigüemos

Mensaje 19 de 23
5.538 Visitas
JoseCarlos-Movistar
Experto en Ciberfraude

Buenos días ter986

Me informan desde nemesys que la IP que nos enviaste, tiene varias denuncias de spam, entre los días 23 y 24 de octubre, las listas negras trabajan en base al tráfico de spam que se envía desde una IP, para poder sacarte de las listas negras, es necesario que hagas limpieza a tus equipos.

Las causas más probables suelen ser, haber instalado un proxy y no esté bien  configurado o instalado un servidor de correo y no esté bien protegido, con lo cual, haya gente navegando sin tu consentimiento.

Si necesitas pruebas de las incidencias de spam, envía un correo a nemesys@telefonica.es, ellos te las proporcionaran.

Saludos.


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 20 de 23
5.524 Visitas
ter986
Yo probé el VDSL

Sobre las 9 de la mañana de ayer 26/10/12 envie un correo a nemesys pidiendo pruebas del problema de la IP en concreto y no he tenido respuesta ni confirmación. Debo enviarlo desde un equipo alojando en la red de la IP en cuestión? supongo que no.

 

Jose Carlos: si hay algo que puedas gestionar en este sentido te lo agradeceré.

 

Sobre el problema que tenemos con la IP, he trabajado duro muchas horas en buscar de problemas internos y por el momento no encuentro absoluntamente nada. Ahora estamos trabajando por otro adsl que tenemos pero si el problema estuviera dentro de nuestra red, tendría que encontrar algo igualmente.

Lo que he hecho:

Actualizar Nod32 a Enpoint (nod 5) y hacer analisis profundo en todos los pcs

Actualizar Eset file security en los servidores y hacer analisis profundo

Instalar Malware bites en todos los pc y hacer analisis profundo

instalar wincap + NetworkMiner y observar lo que pasa por la red

Hacer escaner de puertos desde dnsqueries.com

Seguir chequeando la IP en blacklists y tambien la IP del otro adsl por si aparece listada de repente

 

Si alguien me recomienda alguna cosa que hacer que no haya hecho se agradecera tambien.

 

Salu2

Mensaje 21 de 23
5.489 Visitas
Nacho-Movistar
Antiguo Moderador

Hola ter986,

 

Hemos comprobado que has remitido una notificación al centro nemesys con el número N12-1276386. A través de ella, me comunican, que ya te han enviado información para ayudarte a resolver el problema de Spam, ya que hemos visto que hay notificaciones de Spam con fecha de23 de Octubre.

 

Saludos

 


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 22 de 23
5.466 Visitas
ter986
Yo probé el VDSL

hola, sigo teniendo problemas, pero de otro tipo. Los comentaré en otro hilo nuevo.

 

Solo quería decir aqui que Nemesys (Movistar) nos ha hecho llegar la notificacion por escrito (correo postal) y esta ha llegado hace 2 días (una semana de retraso aprox).

 

Tambien que es cierto que teníamos un bicho dentro, en un pc de usuario y que ha costado un monton pillarlo. Al final lo he cogido con herramientas que me han recomendado los de Eset, aunque su propio antivirus no lo hubiera detectado.

Son estas: combofix y dr web.

 

Tambien comentar por ultimo que el post no se como cerrarlo pues el tema era sobre un rango de ips bloqueado dentro del cual estamos nosotros. De alguna manera me hubiera gustado saber "oficialmente" si es posible que bloqueen un rango tan grande en una BL por culpa de una sola IP, que es lo que apunta mas de un usuario y/o tecnico externo.

 

Gracias a todos.

Mensaje 23 de 23
5.369 Visitas