Verzenden email in Thunderbird: temporarily blacklisted

Als je een smartphone verdenkt, dan suggereer is om met wireshark (of tcpdump of tshark) op poort 25 filterend te sniffen. Als je toevallig een 4G hotspot hebt kan je dit onafhankelijk doen van je PTV kabel connectie.

Had WireShark al eens geïnstalleerd maar heb daar niet zoveel verstand van en dan zijn dat redelijk complexe applicaties, maar vermoed dat ik weinig keuzen zal hebben als ik het niet op een andere manier vind.

Wat die SSID van de ARRIS betreft, heb ik al eens gekeken naar andere namen die ik tegenkom. Ofwel zijn het namen van personen ofwel zeer algemene namen van leveranciers, zoals Movistar, etc. Heb ook gekeken naar de sterkte van het signaal want aangezien ik er naast zit, zou ik toch een sterk signaal moeten krijgen, of toch enigzins vergelijkbaar met de TP-Link (aangezien ze naast elkaar staan) en een dergelijk signaal heb ik helemaal niet. Dus ik vermoed, for what it's worth, dat die ARRIS effectief geen WiFi-netwerk heeft.

FYI:

Op commando lijn (in mijn geval een 'Linux shell') kan je proberen te vertalen naar een equivalente 'Windows shell' syntax (sorry ik heb geen windows toestel):

 tshark -f "port 25" -i enp4s0

of
 tcpdump port 25 -i enp4s0

waar enp4s0 (in mijn geval) de naam van ethernet [of wifi] interface is.

Natuurlijk is het misschien lang wachten voor de ongewenste e-mail zender iets stuurt.

Als je een bepaalde smartphone verdenkt kan je daarop je gebruikelijke apps (zeker een die je mogelijk verdenkt) eens uitvoeren.

Op smartphone zelf bestaan ook apps die beperkte informatie over IP connecties geven (o.a. 'OS Monitor' Android), maar misschien vereisen die bepaalde privileges. En Google (Android 10) heeft recent netwerk IP informatie access ingeperkt. Waarom, dat begrijp ik niet goed (toch niet read access), write access, dat begrijp ik beter.

Het is de eerste keer in praktijk dat ik concreet (onrechtstreeks) met een Android exploit zou te maken hebben. Met Windows exploits daarentegen heb ik (ook onrechtstreeks) al veel te maken gehad. Ik ben benieuwd. Misschien ontdek je een kwetsbaarheid of een misbruik in een bekende app.

Indien je iPhones hebt, daar kan ik zelf minder over zeggen.

Korte update van de situatie:

IP-adres zat weer in verschillende blacklists en veel verder geraakte ik niet, dus gisterenavond ARRIS-router volledig afgezet zodat er helemaal geen internetverdinding meer was. Ik hoopte dat wanneer ik in de loop van de ochtend de router terug aanzette, we een ander IP-adres zouden krijgen waardoor ik met een schone lei zou kunnen testen, toestel per toestel. Helaas na het aanzetten, heeft de ARRIS gewoon hetzelfde IP-adres gekregen, dus dat heeft alvast niet gewerkt. Reden voor een nieuwe IP-adres is ook dat je maar (terecht) een aantal keer een remove kan aanvragen van die blacklists en dan is een nieuw IP-adres wel handig. Ga ook nog eens proberen om een harde reset te doen, maar ik vermoed dat dit hetzelfde resultaat zal hebben.

Ondertussen ben ik wel zeker dat de ARRIS geen WiFi-signaal uitzendt. Bij het aanzetten, heb ik de TP-Link niet mee opgezet en via een app op mijn (Android) smartphone het aantal draadloze netwerken in de omgeving blijven bekijken. Er is er geen enkel bijgekomen ook geen verborgen. Die app geeft ook een indicatie hoever het access point is van waar je zelf bent en het meest nabije was 25m, terwijl ik naast de ARRIS zat. Bovendien brandt het lampje op de ARRIS ook niet dat zou aangeven dat er een draadloos signaal wordt uitgezonden, maar lampjes kunnen uitgezet worden natuurlijk.

Dit betekent evenwel dat er ofwel iemand op onze TP-Link is geraakt en vandaar spam verstuurt of dat een van onze eigen toestellen spam verstuurt. Als ik de timing van de XBL-blacklist mag geloven dan was de laatste keer op 7 september rond 19u45, ofwel 21u45 onze tijd.

De zoektocht gaat dus verder maar door bijna alle toestellen van WiFi te halen, zou ik toch een idee moeten krijgen waar het probleem zit. Probeer echt om sniffen met WireShark te vermijden.

Net ontdekt via https://www.spamrats.com/lookup.php?ip=171.33.234.224 dat heel de range van IP-adressen in een offender list zit, en dat ik er waarschijnlijk zelf heel weinig zal kunnen aan doen.

Antwoord is het volgende:

+++++

Alert: Your IP is part of a network listed as a Worst Offender

This is a Worst Offender Alert and this means that not only this IP address, but the whole class 'C' is also on the indicated SpamRats List. Usually this means the whole range has the same issue of naming conventions or no reverse DNS AND that many IP's from this Class C have been used in Spam Attacks, Dictionary attacks or other forms of attacks, as detected by Mail Servers in the Data Collection Grid. You will NOT be able to use the removal form to remove your IP Addresses. If you have recently been assigned the IP Addresses, or have changed what these IP Addresses are used for, you can use the contact form and ask for a reclassification, but you will have to provide full disclosure, including whois for the ip addresses, your affiliation with the company that owns them, and a description of what the IP's were previously used for, and what they will be used for, in order for a Spam Auditor to consider reclassification. Remember, the majority of the IP's in this space WERE detected as being involved in some form of attack or abusive behaviour, so you had better have a good reason to ask for removal, and you need to own or control the IP addresses, as evidenced by ARIN whois.

+++++

Voor ik nog verdere initiatieven ga ik eens eerst met PTV Telecom contact opnemen en bekijken of zij op de hoogte zijn van het probleem en al actie aan het ondernemen zijn.

Desondanks hebben we alweer veel bijgeleerd over blacklists.

Zodra ik wat meer informatie heb, laat ik het weten.

Mooi! Jammer dat spamhaus de hele range niet als blocklisted aangaf, dan hadden we sneller inzicht gekregen. Je Spaanse provider zal nu stappen moeten ondernemen.

@yacc Het spijt me in feite dat ik niet zelf eerder op het idee kwam om naburige adressen te checken (pakweg 171.33.234.223 en/of 171.33.234.225), want die zitten, zo blijkt, net zo goed in spamhaus blocklist(s). Dan was het van dag 1 duidelijk geweest dat mogelijk een ganse range (zoals die van je Avast VPN) in spamhaus blocklist(s) zat, en, dan had ik je niet moeten lastig vallen met vragen over het gedrag van je toestellen. Een Class C subnet is 256 adressen (254 host adressen meerbepaald), en, de kans dat de ongewenste paketten van bij jou komen is klein. Ik ben benieuwd of je provider dat source adres vindt (keep fingers crossed cat niet dat van jou is 😐).

@NofanTasi Jij hoeft jezelf helemaal niets te verwijten, je hebt me heel goed geholpen 👍

Zonder jou zou ik nooit op zoek zijn gegaan naar die blacklist (en ze nog minder gevonden hebben) en was ik me nu nog druk aan het maken op de helpdesk van Telenet.

Daarnaast was het ook op basis van jouw idee om eens te zoeken naar de combinate van de provider en email spam dat ik die andere blacklists en de opmerking over de hele range gevonden heb.

Je hebt me heel goed geholpen niet alleen technisch maar ook door te blijven meedenken aan oplossingen.

BEDANKT !!!

Moest je niet expliciet vragen om *niet* te liken, zou ik dat zeker doen.

Conclusie: we hebben allebei wat bijgeleerd 😉

Status:

E-mails kunnen nog steeds niet verstuurd worden en ik heb nog geen reactie gekregen van PTV Telecom.

Ik vermoed dat ze er wel mee bezig zijn, want het IP-adres komt niet meer terug voor in de XBL-blacklist (nu al bijna 48u). Het staat nog wel in de CSS-lijst (waardoor we waarschijnlijk nog geen mail kunnen versturen), maar daar moet het automatisch uit verdwijnen. Toen ik dat een paar dagen geleden heb aangevraagd, was het duidelijk dat ze dit niet blijven doen, eerst moet het probleem opgelost zijn.

Na wat opzoeken en lezen ben ik er op dit moment tamelijk van overtuigd dat provider PTV Telecom misbruik in het Procono /24 subnet zal moeten opsporen en aan banden leggen. Want, adressen of de ganse range uit blocklist(s) [in spamhaus en spamrats op dit moment] verwijderen zal, wellicht, nooit lukken zolang misbruik verder duurt. Onder andere omdat er geen conforme reverse DNS records zijn (typisch voor publieke, dynamische adressen), wat, meerbepaald voor e-mail servers, een (terechte) no-go barriere vormt (plus mogelijk andere factoren zoals ongeldige helo/ehlo etc...).

Gisterenavond bericht gekregen van PTV Telecom dat hun technische dienst mijn vraag in behandeling heeft genomen.

Hopelijk maken ze er snel werk van want, zoals je al kon verwachten, nog steeds geen mail verzenden via Telenet.

Gelukkig hebben we nog steeds de backup via gmail of de VPN in Mexico opzetten 😉

[Update] Net gemerkt dat we terug mail kunnen versturen via Telenet, hopelijk blijft het werken.

[Update 2] En nu weten we ook de reden, we hebben een nieuw IP-adres gekregen (X.X.X.179). Dat is een snelle en efficiënte oplossing voor ons en geeft hen tijd om het probleem ten gronde op te lossen. Al vrees ik wel dat het maar een korte termijnoplossing is, want ook dit IP-adres zit al in verschillende blocklists 🤔

StefaanH (Krak) heeft de inhoud van deze post bewerkt.
Reden: IP adres gemaskeerd

Die Procono IP subnet ranges blijken geen goede reputatie te hebben 🙄

Misschien is de oorzaak van het block listen mee verhuisd naar de nieuwe range...