Nel tardo pomeriggio di ieri, 26 febbraio 2025, abbiamo ricevuto numerose chiamate che segnalavano problemi con la posta elettronica in entrata. Analizzando i log di sistema, ci siamo subito accorti che la causa della mancata ricezione dipendeva dall’inserimento di indirizzi IP di grandi provider come Google e Microsoft in alcune blacklist gestite da Spamhaus, tra cui cbl.abuseat.org, sbl.spamhaus.org e pbl.spamhaus.org. Per mitigare temporaneamente l’impatto, abbiamo disabilitato i controlli associati a queste liste, ma attendiamo una risoluzione definitiva del problema per ripristinarli.
Cosa sono le blacklist di Spamhaus?
Spamhaus è un’organizzazione internazionale che si occupa di monitorare attività legate allo spam e di mantenere diverse blacklist (o blocklist) utilizzate da amministratori di sistema e servizi email per filtrare messaggi indesiderati. Le principali liste coinvolte in questo contesto sono:
• Spamhaus Blocklist (SBL): contiene indirizzi IP identificati come sorgenti di spam o coinvolti in attività dannose come l’hosting di contenuti malevoli o il dirottamento di spazi IP.
• Exploits Blocklist (XBL): include indirizzi IP di dispositivi compromessi che mostrano segni di infezione da malware o che sono stati sfruttati da terze parti per attività malevole.
• Policy Blocklist (PBL): elenca intervalli di indirizzi IP da cui, per policy, non dovrebbe essere inviato direttamente alcun messaggio email, come ad esempio IP assegnati a utenti finali o reti domestiche.
Perché gli IP di Google e Microsoft sono stati inseriti in queste blacklist?
L’inserimento di indirizzi IP appartenenti a grandi provider come Google e Microsoft nelle blacklist di Spamhaus è un evento raro, ma può verificarsi in determinate circostanze:
• Compromissione di account o servizi: Se account utente o servizi all’interno di queste piattaforme vengono compromessi e utilizzati per inviare spam, gli indirizzi IP associati possono essere temporaneamente inseriti in blacklist.
• Configurazioni errate: Errori nella configurazione dei server di posta o l’invio massivo di email non richieste possono portare all’inclusione degli IP nelle liste di Spamhaus.
È importante notare che Spamhaus basa le sue liste su attività osservate e segnalazioni; pertanto, anche grandi provider non sono immuni da possibili inserimenti se vengono rilevate attività sospette provenienti dai loro IP.
Possibili motivazioni dietro l’attacco
Sebbene non ci siano conferme ufficiali, l’inserimento di IP di provider di rilievo nelle blacklist potrebbe essere il risultato di un attacco deliberato con l’obiettivo di:
• Danneggiare la reputazione: Compromettere la fiducia degli utenti nei confronti dei servizi di questi provider, facendo apparire le loro comunicazioni come potenzialmente pericolose.
• Interrompere i servizi: Causare disservizi diffusi, poiché molti sistemi di posta rifiutano automaticamente email provenienti da IP presenti nelle blacklist.
Un esempio storico di attacco simile è avvenuto nel 2013, quando Spamhaus subì un massiccio attacco DDoS dopo aver inserito nelle sue liste un provider di hosting accusato di supportare attività di spam.
Che cosa dobbiamo aspettarci ora
L’inserimento di indirizzi IP di grandi provider nelle blacklist di Spamhaus evidenzia l’importanza di una costante vigilanza sulla sicurezza e sulla configurazione dei servizi di posta elettronica. È fondamentale che sia i provider che gli utenti adottino misure proattive per prevenire compromissioni e attività sospette, garantendo così la continuità e l’affidabilità delle comunicazioni email. Ma io credo che ora ci aspetti solo una rapida rimozione dei big player dalle BL, dopodiché tutti noi potremo riabilitare Spamhouse e tornare a filtrare lo SPAM esattamente come facevano prima. Niente di nuovo, insomma. Per fortuna…
