DNSBL(CBL)による2016/11/25の誤ブロックの話

原文

Important: November 25, 2016

Early November 25th, a very large scale Necurs malware event occured. By large scale, many email installations will be seeing in excess of 80% Necurs spam, and some will see their inbound email volume jump by a volume of as much as 500%. This isn't an unusual thing normally, the CBL/XBL has been successfully dealing with large scale spam spikes like this, often daily, for years.

The email was allegedly an invoice, but the attached zip contained, instead, a form of ransom malware.

The detection rules initially deployed by the CBL unfortunately were insufficiently detailed, and listed a number of IP addresses it shouldn't.

Our internal policy states that when a listing heuristic is generating noticeable amounts of false positives, and it isn't possible to distinguish the good entries from the bad ones, that all listings from that heuristic should be purged as soon as possible. Therefore, all entries of this type were purged (by about 14:10 UTC), and the detection heuristic removed.

The false positives tended to be predominently email senders, and they'd only be listed if they hit our spamtraps (never-existing or not existing in many years email addresses) - this didn't involve any of our partner feeds.

If you were listed up to around 14:00 UTC November 25th, and the CBL lookup page appears to indicate that the IP is no longer listed, this is likely the explanation, and no further action is required on your part.

We apologize for the inconvenience.

大雑把にいうと

• 11月25日早朝にランサムウェアがめっちゃ活動してた
• その影響でDNSBL(CBL)のヒューリスティックスキャンが関係ないIPアドレスも大量にブロック対象としてリストアップしてしまった
• 誤検出のエントリは(UTCの)11月25日14:10ごろに全部クリアした
• 今は問題ないので安心してね

日本での影響

• キャリアメール(DoCoMo, au, softbank)のメールは遅延あるいは喪失が起きていたかも

  • キャリアからは明確にDNSBL(CBL)を使っているという回答はないが、ここにリストアップされると迷惑メールフォルダに自動転送されるため、何らかの参照をしているのは間違いなさそう

• GMail, Outlookなどへも影響が出ていた可能性あり

  • こちらも明確に回答は得ていないが、やはり過去にDNSBL(CBL)絡みで喪失が起きていたのではないか？という話がたまにある

対応

お客様へは「海外で運用されているスパムメールブロックサービスの誤検出により弊社サービスへ影響があった模様です。お手数ですがメールの再送をお願いします。」としか言いようがないので、そのように取り計らう。

Best regards,