Descubrí que una de las direcciones IP a las que se asignaron los nombres de dominio de mi empresa está en la lista negra. Es un nuevo dominio y dirección para nosotros. No hay un sitio web adjunto, pero muy a menudo el correo electrónico que usa esa dirección se filtra.
Investigaciones adicionales demostraron que todo el bloque de direcciones IP está en la lista negra, por ejemplo. 123.456.789.x
¿Por qué todo un bloque sería incluido en una lista negra?
Probablemente se deba a un par de razones:
El bloqueo de IP se asignó anteriormente a alguien que lo usó para enviar spam o propagar malware.
El Bloqueo de IP pertenece a un país del que el sitio / la empresa no desea conexiones, generalmente se realiza para países que tienen una gran cantidad de tráfico malicioso originado en ellos.
He estado involucrado en incidentes en los que un atacante usó un servicio en la nube o un proveedor de VPS particular y su IP giraría entre un rango impredecible de IP dentro de un bloque CIDR. Entonces, en lugar de bloquear cada IP a medida que aparecían, bloqueamos todo el bloque CIDR hasta que el atacante se rindiera.
Es fácil imaginar que alguien utilizó la misma técnica y simplemente se olvidó de revisar la regla de bloqueo.
¿Tienes control sobre todo el bloque de IPs? ¿O se comparte con otros sitios?
Algunas reglas o servicios de filtrado hacen automáticamente una lista negra de todo un bloque de clase C, basándose en la suposición proactiva de que los hosts incorrectos provienen de barrios malos. Una forma bastante "culpable hasta que se pruebe que es inocente" de vigilante de la justicia de Internet en mi opinión.
Sí, a veces tiene sentido eliminar todo el bloque, pero he visto que más de una pequeña empresa se queda sin conexión porque un sitio completamente no relacionado con una dirección IP similar tenía un script de foro comprometido. : - /
Esto puede deberse a cualquier cosa, desde una posible infección de malware en el bloqueo de tu dirección IP hasta el envío de correo no deseado desde esa dirección IP.
Puede usar herramientas como los verificadores de listas negras en línea para ver qué servicio de listas negras lo ha hecho y por qué. Uno de ellos es: enlace
tl; dr Puede ser un caso de malware o spam en su red o simplemente un uso indebido por parte de alguien que usa la dirección IP antes de comprar el bloque.
Para ser justos, no es realmente un "bloque" completo. Esto es solo 255 direcciones en la subred / 24, que es más seguro bloquear ya que casi todas las organizaciones poseen subredes más grandes que el bloque de 256 direcciones. Como sugiere @Adamlive, una dirección IP fraudulenta implica que al menos el bloque / 24 es propiedad de un atacante. Por lo tanto, es mejor prevenir que lamentar.
Lea otras preguntas en las etiquetas blacklist