Suspekte RBLs – Barracuda Central / Barracuda Reputation System

Als ich heute versucht habe, eine Mail an einen unserer Kunden zu schicken, staunte ich nicht schlecht als die Mail gebounced wurde. Unsere Mailserver seien angeblich SPAM-Schleudern und wurden mittel Barracuda Reputation geblockt. Folgt man dem angegebenen Link, kann man dann eine Anfrage stellen, den Mailserver aus der RBL entfernen zu lassen – das dauert dann (angeblich) bis zu 12 Stunden. Alternativ kann man sich bei emailreg.org einen Account anlegen um dort die IPs des Mailservers auf eine Whitelist setzen zu lassen – dass das Ganze dann 20 US $ Kosten soll, erfährt man erst wenn man sich einen Account angelegt hat – eine Unverschämtheit wie ich finde.

Dazu kommt noch dass der Aufwand die Mailserver dort aus deren RBL zu delisten bei einem Cluster mit vielen Mailservern enorm steigen kann. Man muss sich ja immer durch irgendwelche Forms mit Captchas durchhangeln – auf ein Feedback seitens Baracuda Central wartet man wohl vergeblich.

Ich kann nicht nachvollziehen, warum einige Mailserver-Admins der Meinung sind, dieses perverse System unterstützen zu müssen. Der Ärger mit Kunden die keine Mails zustellen können und der Aufwand whitelists zu Pflegen stehen doch in diesem Falle in keinem Verhältnis mehr. Dazu kommt noch, dass sich SPAM auch sehr effizient mit den üblichen Opensource-Lösungen wie dspam, spamassassin, diversen Filterlisten wie SpamCop und Spamhaus, amavisd, Greylisting etc filtern lässt.

Aber eine gute Geschäftsidee wäre es schon, einfach mal eine Blacklist aufzubauen, alles erst mal zu Blacklisten, für das Whitelisting Geld zu verlangen und dann irgendwelche Marketingmenschen in größeren Unternehmen dieses System als innovativ zu verkaufen und nochmals die Hand aufzuhalten. Dieser Gedanke könnte einem zumindest in den Sinn kommen, liest man sich diverse Foren im Netz durch.

Einfach nur frustrierend…

UPDATE:

http://packetstormsecurity.org/papers/evaluation/Barracuda_Evil.txt bestätigt meinen Verdacht, dass das Barracuda Zeug einfach nur Müll ist…

15 thoughts on “Suspekte RBLs – Barracuda Central / Barracuda Reputation System

  1. Wir haben selbiges Problem mit Mails aus dem Büro, die an E-Mail-Server gehen, welche sich mit der Barracuda List “schützen”. Gelistet sind wir komischer Weise in den “großen” Anti-Spam-Listen nicht.

  2. Entschuldigung aber das ist einfach Blödsinn
    Barracuda blockt nicht wahllos

    Das was bei Barracuda-Central eingeht sind von Kunden per Outlook-Plugin oder Webinterface aktiv als Spam markierte Mails

    Kunden sind Leute die so eine Appliacne ihr eigen nennen wie wir:
    http://www.barracudanetworks.com/ns/products/spam_specs.php

    Die Qualität, Effizienz und konfigurierbarkeit kannst du in einem ganzen Leben nicht alleine nachbauen, geschweige denn Inhaltsfilter stündlich anhand tausender User die Spam melden auch nur halbwegs aktuell halten

    Du kannst davon ausgehen dass ihr oder einer eurer Kunden nicht nur einmal schlecht aufgefallen seid und von mehr als nur einem Barracuda-Kunden der Server gemeldet wurde

  3. sich bei emailreg.org zu registrieren bringt rein gar nichts. barracuda schreibt zwar auf seiner webseite:
    Barracuda Reputation System honors domains registered at EmailReg.org. If you want to avoid email with your domain and IP being inadvertently blocked, you can register your domain at EmailReg.org.
    emailreg.org schreibt aber:
    There appears to be some confusion that EMAILREG.ORG is a way to get off of some of the Barracuda IP Block lists (BRBL). This is not the case. Emailreg.org is primarily a whitelist of IP’s with domains. It does not have any impact on Barracuda Networks block lists such as the BRBL. If you want to be delisted from a Barracuda Block List please contact Barracuda Networks at their technical site: http://www.barracudacentral.org
    daß emailreg.org von barracuda betrieben wird nur nebenbei.
    bei emailreg.org registrierte adressen werden trotzdem in der barracuda bl geblockt.

  4. Kann sein dass nicht wahllos geblockt wird, dennoch ist diese Appliance nach wie vor Müll und das Geschäftsgebaren ist auch sehr suspekt.

    Weiterhin lässt sich so ein System natürlich auch mit Opensource Mitteln nachbauen, dazu verwendet mann dann z.b. Postfix Policyd, ClamAV, Spamassassin, Pyzor
    und fragt dazu noch diverse RBLs ab wie z.B. SpamCop etc, auch hier wird der SPAM ja von Unsern gemeldet.

  5. den grund für das blocken wird man nie erfahren. wenn die IP allerdings NIE in einer der vielen anderen BL’s landet, kann man schon an willkür denken.
    wenn barracuda einen am kieker hat, wird man die nicht mehr los. außer man kauft eine von deren appliances.. sauteuer, und man bekommt kein root.

  6. Also ich finde solche Machenschaften auch höchst suspekt, mal warten wie lange es noch dauern wird, bis google und co eine neue, supertolle Blacklist rausbringt. Herdenhaft werden die Admins auch diese einbauen und in kurzer Zeit wird sie zum Standard und paar Tage später kostet es dann wieder. Ist doch immer dieselbe Methode

  7. … (continued):… dieselbe Methode: anlocken, abhängig machen und dann kräftig ausbeuten.

  8. Hi,
    ich arbeite in einem Hotel – und kann einer Reservierungsanfrage durch diesen Barracuda Central Reputation System – Filter -keine Mitteilung für die Zimmer schicken. Gibt es da eine Umgehung? Meine ohne sich da anmelden zu müssen!
    Danke für jeden Tip

  9. Barracuda blockt sinnlos und OHNE auf Fehler zu reagieren. Höchst *dubioses* Gebaren und wird von mir KEINERLEI gute Kritik erhalten. Mein Fazit, nach viel Mühen und Goodwill…

    Hände weg, Finger weg, scheint ‘ne üble Abzocke zu sein!

  10. Was schreibt der da?
    “Das was bei Barracuda-Central eingeht sind von Kunden per Outlook-Plugin oder Webinterface aktiv als Spam markierte Mails”

    Was soll das für ein Plugin sein? Eins von Barracuda? Ganz grosses Kino!

    Abgesehen davon:

    Wenn ein User zu dämlich ist, den bestellten Newsletter wieder abzumelden, sollte man den User aus dem Verkehr ziehen und nicht den Mailserver.

    Und Postmaster, die Barracuda als einzige RBL nutzen, gleich mit.

  11. Der ist immer noch aktiv. Heute erfahren von einem (der wenigen) Nutzer meines privaten Mailservers: Er könne eine Mail nicht versenden. Grund: Barracuda. Der Mailserver ist relativ neu, in anderen Blacklists nicht gelistet, und ich bin gespannt, ob mein Austragsbegehren zur Kenntnis genommen wird.

    Nicht einmal ein konkreter Grund für den Eintrag wird genannt, nur ein paar Möglichkeiten – bei denen ich sehr sicher bin, daß sie auf meinen Server nicht zutreffen. Allein daß ich keinen Anhaltspunkt bekomme, woran es liegt, sagt mir, daß der Laden unseriös ist.

    Achja, und im Gegensatz zu hier ist das Captcha dort fast unlösbar. Ich hab etwa 8 Versuche gebraucht, um meine Nachricht loszuwerden.

  12. Bevor Ihr so ein Schwachsinn schreibt solltet ihr erst mal genauer prüfen. Ich nutze sämtliche Open Source soft um Spam zu filtern clamav, spamassi etc. Problemfall:
    Einige Kunden leiten eingehende E-Mails an GMail und Hotmail weiter. Trotz Software und Blacklists wurde ich desöfteren von den großen gerügt oder temp. gesperrt. Lösung! Die angemahnten IPs und den Nachrichteninhalt geprüft. Fazit: Der Mailinhalt war eindeutig Bösartig/Spam. Das einbinden von Barracuda löste somit mein Problem vollständig.

  13. Das ist Quatsch. Barracuda rejected nur inakzeptable E-Mails. Zumindest bis jetzt. Ich werde das natürlich weiter beobachten.

  14. https://dl.packetstormsecurity.net/papers/evaluation/Barracuda_Evil.txt

    Barracuda Spam Firewall
    This device, sold by Barracuda Networks, is an appliance meant to plug in and
    begin filtering SPAM from your incoming SMTP. It features a decent web
    interface and some nice features.

    However, there are a few pretty major implications that anyone evaluating or
    currently using one of these devices should be aware of:

    1. I believe this device to be in violation of the GPL.
    Under the hood, this appliance is an AMD-based Lintel box, running Mandrake
    9.1. Among several other GPL softwares on the machine, Barracuda makes no
    mention of the GPL nor does it provide source code on it’s site (Remember
    Linksys?) Please, correct me if I’m wrong. I’m no expert on the GPL, but I’m
    pretty sure this is a no-no.

    2. Barracuda Networks will not provide you the passwords of any shell accounts
    on the system, yet will maintain this account information internally.
    I wouldn’t trust everyone at Microsoft to have the only Administrator account
    to my Exchange server, so why would I trust Barracuda Networks to have the
    only root password to my SF Appliance? Your guess is as good as mine.

    3. Although the remote administration interface (ssh) **can** be
    disabled, it’s enabled by default. They’ve left an iptables nat table in place that allows
    one of their IP addresses to port forward STMP (TCP25) to SSH (TCP22) (The
    other IP nats SMTP to TCP8000, where your Web Interface lives). Anyone with
    access to the host located at 205.158.110.61 can ssh to your Barracuda
    Appliance at any time… you do not have to initiate anything if you’ve exposed
    SMTP on the Internet for your MX (as is the recommended deployment method).

    3a. Another feature, beneath Advanced, Troubleshooting, and called Establish
    Connection To Barracuda Central, makes a reverse SSH tunnel to
    support01.barracudanetworks.com… from there, anyone at Barracuda Networks
    can SSH back to your box, even if you have inbound SSH (or SMTP) firewalled off.
    Because the connection is in reverse, a typical SPI (Stateful) firewall will allow
    traffic back in!

    To learn more about this, notice that this “feature” is susceptible to DNS
    poisoning… all you have to do is point the appliance at a DNS server that
    will return the IP address of an SSH server under your control when it goes
    to look up support01.barracudanetworks.com… you’ll see the box
    authenticate as redir@support01.barracudanetworks.com using a public key
    printed in the web interface (stored in ~/.ssh/authorized_keys).

    4. Any body who knows anything about firewalling should be major pissed about this,
    as their recommended deployment is to have TCP25 exposed to the Internet, for the
    purpose of MXing… little do folks know that by doing this, you leave your
    web interface and ssh shells (for which you do not have the password) open to
    Barracuda Networks, for access whenever they please (see #3).

    5. The appliance also sports a pair of nice features: Single Sign-on and
    Exchange Accelerator. HOWEVER! If anyone at Barracuda Networks can shell into
    your appliance at any time, there’s nothing preventing them from pulling out
    all your LDAP data and/or your entire Active Directory/Exchange LDAP. I don’t
    trust everyone who works at Barracuda Networks, do you? Just imagine your entire
    Global Address List queried by some disgruntled employee and sold to a porn
    advertiser (see #4).

    6. After reviewing the Barracuda Networks forum, I’ve noticed that many people
    are asking for some pretty basic features, like static-routes, FTP access, and
    shell access. Currently the only way to get static-routes enabled is to have
    support do it. FTP is currently a requested feature, but not available. And
    support will not give out any shell account information.

    As a sysadmin, I find myself conflicted with all this information. On one
    hand, I like the appliance, and would recommend it for what it appears to do
    well: filtering spam. The box uses a clever mix of perl, MySQL, spamassassin,
    and apache, to do it’s job. And while I’m all for seeing the furthering of
    Linux-based solutions in the IT industry, I can’t help but see several
    major problems with the device that need to be made well-known.

    The fact that I can’t get root, the hiding of the internal workings, potential
    violations of the GPL, and the creepiness of the level of access tech support
    has to the box motivated me to hack it into fish sticks.

    Buying this box feels like buying a car with a LINUX bumper sticker that has
    the hood padlocked… and if I need the oil changed, there’s only one shop in
    the whole world that knows the combination. This is how Barracuda sells Instant
    Replacement warrantees.

    I can only recommend that users and evaluators of the Barracuda Spam Firewall
    not remain ignorant! Educate yourself about the inner workings. Anyone
    concerned with any of these accusations need to continue on and see for themselves.

    TESTING THE PORT 25 “SHELL” NAT TABLE REDIRECTION
    1. Change the IP of the Barracuda device to 205.158.110.1, with a netmask of
    255.255.255.0
    2. Connect the appliance (via ethernet) to another PC addressed at 205.158.110.61
    3. From the 205.158.110.61 PC, ssh:
    ssh admin@205.158.110.1 -p 25
    4. Witness the prompt for a ssh (!) password, despite the fact you’ve
    theoretically connected to the SMTP TCP port.

    Now, to their credit, the Enable Remote Support: No option in the web
    interface really does work: it firewalls off all local requests for the ssh
    server. The problem is that none of this stuff is explained in any of the
    documentation I’ve seen so far, and I think if this stuff was better known, there
    would be need for concern. Perhaps this is just all paranoia?

    ACQUIRING A ROOT SHELL ON YOUR BARRACUDA DEVICE – WITHOUT OPENING THE CASE
    Note: I was able to use the following well-known root password recovery method
    for gaining a supposedly impossible root shell to the appliance. These
    instructions are based on a Spam Firewall 300 device, so your mileage may
    vary.

    Because the default LILO timeout is “5” (meaning 5/10 of a second) you need to
    have very quick and accurate fingers to do this. If you slip up and wait more
    that half a second between key presses, LILO will timeout and not boot that
    string that you want.

    If you kicked ass at Mortal Kombat, you’ll have no problem here. Everyone
    else may need to reboot a few times to get it right.

    1. Connect a VGA monitor and PS/2 keyboard to the appliance.
    2. Reboot the unit with Ctrl+Alt+Delete.
    3. Wait for first screen of BIOS tests to complete.
    4. As soon as this screen disappears, start hitting Ctrl-Break repeatedly,
    interrupting the LILO timeout.
    5. Once the screen goes blank a second time (while the LILO GUI is rendered),
    rapidly hit the up and down arrows, scrolling through the LILO GUI menu options.
    6. You should be left with a pretty Mandrake 9 LILO GUI, with your fingers
    rapidly keeping the stupid thing from timing out.
    7. Continue to repeatedly hit the up and down arrows until you are prepared for
    the next key sequence.
    8. Quickly! Hit escape, clearing the LILO GUI, and returning you to the text
    LILO: prompt… the screen will go black momentarily, while the LILO GUI is
    cleared. Don’t wait for the prompt to appear, immediately type
    “linux init=/bin/bash” and hit enter. In short, the sequence would be:
    ESC – linux init=/bin/bash – ENTER
    9. The system will load the kernel and boot directly into a root shell.
    10. Remount the root file system read-write with: mount -o remount,rw /
    Now that you have a shell, you can open the system in a variety of ways. For
    starters, “passwd root”. (Consider backing up /etc/shadow first, though)

    Barracuda has made a mistake in not password-protecting LILO and not leaving
    the timeout at 5/10 of a second. They may close this hole in the future, so be
    weary of any future “firmware” updates.

    With a root shell, you are free to eradicate the system of creepy iptables nat
    firewall forwarding, unknown shell passwords, etc. Install FTP! Manage your OWN
    static-routes! Promote knowledge sharing, open source, and open standards!
    Customize their software inside
    /home/emailswitch/code/firmware/current/web/cgi-bin ! It’s your box, you paid
    for it, do with it what you will.

    When I started working with the Barracuda evaluation unit, I, at no point was ever
    presented with any EULA, paper, electronic or otherwise, forbidding the
    use/misuse of the device in the manner described here. Much like moding
    XBoxes, they may try to find a way to determine that this is somehow illegal.
    At this time, I have not seen anything forbidding any of the activities
    explained here.

    Use this information at your own risk. It is meant for learning and exploring
    how the device works – and doesn’t – (see “Hacker”) and not for the
    purpose of destroying, pirating, or otherwise abusing (see “Cracker”) the
    company or it’s products.

Leave a Reply

Your email address will not be published. Required fields are marked *