IPガチャ外れを引きました。なろう系タイトルの気分です(スルー推奨)。
554 FCrDNS check failed への対策としてリレーサーバーを構築すべく、ConoHa VPSを新規契約しました。早速、VPSに割り当てられたIPアドレスを確認したところ、構築直後の時点で複数のブラックリストに掲載されている状況でした。VPSは3年契約で支払い済みであり、サポートへ確認したところ、VPSを再作成する場合は再度費用が発生するとの回答でした。
今回はVPSを再作成せず、現在割り当てられているIPアドレスをそのまま利用する前提で、ブラックリスト解除申請を行うことにしました。
リレーサーバー構築記事は下記からご覧ください。本記事は番外編としてブラックリスト解除申請について解説します。
※本記事では、解除申請するIPアドレスは伏字で記載しています。実際に解除申請を行う際は、ご自身のIPアドレスへ読み替えて申請してください。
IPガチャ:IPレピュテーションの確認
割り当てられたIPアドレスがブラックリストに掲載されていないかblacklistalert.orgで確認したところ、3件のブラックリストに掲載されている状態でした。
■ DNSBLチェック結果 抜粋
all.spamrats.com: Listed!
b.barracudacentral.org: Listed!
dyna.spamrats.com: Listed! See why現況分析/解除申請の進め方
Spamhaus ZEN、SpamCop、UCEPROTECT が OK だったため、主要RBL全体で広範囲に汚染されている状態ではありませんでした。
リストされた3件、実態は次の2種類に分類できます。
- SpamRATS
– all.spamrats.com
– dyna.spamrats.com - Barracuda
– b.barracudacentral.org
SpamRATS Dynaは、メールサーバー用途に適さないと判断されるIPアドレスを扱うブラックリストです。
正引きと逆引きが一致していれば解除申請が可能とされています。
今回は、VPS側のコントロールパネルでPTRレコードをrelay.exiv.netに設定します。DNSキャッシュの更新が進み、正引きと逆引きの整合性が確認できる状態になれば、解除申請へ進める見込みです。
PTRレコードの反映には少し時間がかかりそうなので、先にBarracudaの解除申請を進めることにします。
Barracuda Central公式のRemoval Requestページには、解除申請フォームが用意されており、同ページでは、正当な説明を添えて申請した場合、解除申請は通常12時間以内に調査・処理されると記載されています。
Barracuda DNSBL解除申請
Barracudaの解除申請は、以下のリンクから行います。
解除申請理由の文例です。解除申請する実際のIPアドレスに置き換えてください。
This IP address is used as a dedicated SMTP relay server for our domain exiv.net.
The reverse DNS is correctly configured as relay.exiv.net, and forward DNS resolves
back to [解除申請するIPアドレス].
The server is not an open relay. SMTP relay is restricted by SMTP AUTH and source-side controls.
Email authentication (SPF and DMARC) is properly configured and passing.
DKIM signing is performed on the originating server (mail.exiv.net).
This IP appears to have been listed before our deployment, and we request a reputation review
and delisting.フォームに必要事項を入力、[Submit Request]をクリックします。
リクエストが完了すると下記のメッセージが表示されます。
(リクエスト完了メッセージの表示には、少し時間がかかります。)
Request Received Thank you for submitting your request.
If this is your first request, your IP address will have its reputation increased to "normal" for
48 hours while we investigate.
It may take up to 1 hour for the reputation increase to propagate to all Barracuda Spam Firewalls
globally.
We appreciate your patience and apologize for any inconvenience.
Your confirmation number is BBR xxxxxxxxxxx-xxxxx-xxxxx.48時間は一時的な解除状態となり、申請が許可されれば正式にブラックリストから解除されます。
SpamRATS DNSBL解除申請
SpamRATSの解除申請は、以下のリンクから行います。
解除申請するIPアドレスを入力、[Check IP Status]をクリック、検索結果を表示します。
[Check IP Status]をクリックすると、IPアドレスの掲載状況が表示されます。
Does IP Address resolve to a reverse hostname... Passed!
Does IP Address comply with reverse hostname naming convention... Failed! また、Automatic removal is not available. と表示されており、自動解除は利用できない状態でした。
フォームからの通常の自動解除操作では対応できず、画面の案内に従って解除申請を行い、SpamRATS側の手動確認を受ける必要があります。
[Why can’t I remove this?]をクリックします。
[Manual Review Required]と表示されました。そのまま[Contact SpamRATS Support]をクリックします。
SpamRATS コンタクトフォーム
コンタクトフォームからブラックリスト解除申請を行います。
Reason、Details、申請者の情報を適宜入力、件名と本文を入力します。
件名には、以下のように対象IPアドレスと解除申請であることが分かる内容を入力しました。
Delisting request for IP xxx.xxx.xxx.xxx (legitimate SMTP relay)本文には、IPアドレスの利用目的と現在の構成を説明しました。
以下の内容を記載しました。
This IP address (xxx.xxx.xxx.xxx) is used as a dedicated SMTP relay server for our domain exiv.net.
The reverse DNS is properly configured:
xxx.xxx.xxx.xxx -> relay.exiv.net -> xxx.xxx.xxx.xxx
The server is not an open relay.
SMTP relay is restricted using SMTP AUTH and access control.
Email authentication is handled on the originating server (mail.exiv.net),
where SPF, DKIM, and DMARC are correctly configured and passing.
This IP appears to have been listed before deployment.
We request review and removal.このリレーサーバー自体ではDKIM署名やDMARC判定は行っていません。
DKIM署名は送信元サーバーである mail.exiv.net 側で実施しており、relay.exiv.net はSMTPリレー専用として動作させます。
そのため、申請文では「リレーサーバーでDKIM署名している」とは書かず、「送信元サーバー側でメール認証を実施している」と説明しました。
ロボット除けのテキストイメージを入力、[Submit]ボタンをクリックします。
送信後、すぐに自動解除されるわけではなく、手動審査待ちの状態となります。
審査結果の通知
今回は、解除申請を送信してすぐ完了するようなものではなく、ブラックリスト解除の通知までには、数日待つことになりました。
メールには “We have now exempted this IP” と記載されていました。
今回のIPアドレスから新たな迷惑メール報告などが発生した場合は、再びブラックリストに掲載される可能性があります。また、再掲載防止策として outbound rate limiter の利用も推奨されていました。
以上の返信内容から、対象IPアドレスはSpamRATS側で除外処理されたと判断できます。
最終確認
最終確認として blacklistalert.org にて再確認を行いました。
当初は SpamRATS および Barracuda に掲載されていましたが、解除申請後はすべて OK となりました。
主要なブラックリストから解除されていることを確認できました。
メールサーバー運用では、単にPostfixが動くだけではなく、「IPレピュテーション」という別レイヤーの管理が必要になることを改めて実感しました。
特にVPSでは、契約直後のIPアドレスであっても、過去利用者や同一ネットワーク帯の影響を受ける場合があります。
これからSMTPリレーサーバーを構築する方は、DNS設定やメール認証だけでなく、ブラックリスト状態の確認も初期作業として実施することをおすすめします。
(おしまい)
コメント