Suspekte RBLs – Barracuda Central / Barracuda Reputation System

Als ich heute versucht habe, eine Mail an einen unserer Kunden zu schicken, staunte ich nicht schlecht als die Mail gebounced wurde. Unsere Mailserver seien angeblich SPAM-Schleudern und wurden mittel Barracuda Reputation geblockt. Folgt man dem angegebenen Link, kann man dann eine Anfrage stellen, den Mailserver aus der RBL entfernen zu lassen – das dauert dann (angeblich) bis zu 12 Stunden. Alternativ kann man sich bei emailreg.org einen Account anlegen um dort die IPs des Mailservers auf eine Whitelist setzen zu lassen – dass das Ganze dann 20 US $ Kosten soll, erfährt man erst wenn man sich einen Account angelegt hat – eine Unverschämtheit wie ich finde.

Dazu kommt noch dass der Aufwand die Mailserver dort aus deren RBL zu delisten bei einem Cluster mit vielen Mailservern enorm steigen kann. Man muss sich ja immer durch irgendwelche Forms mit Captchas durchhangeln – auf ein Feedback seitens Baracuda Central wartet man wohl vergeblich.

Ich kann nicht nachvollziehen, warum einige Mailserver-Admins der Meinung sind, dieses perverse System unterstützen zu müssen. Der Ärger mit Kunden die keine Mails zustellen können und der Aufwand whitelists zu Pflegen stehen doch in diesem Falle in keinem Verhältnis mehr. Dazu kommt noch, dass sich SPAM auch sehr effizient mit den üblichen Opensource-Lösungen wie dspam, spamassassin, diversen Filterlisten wie SpamCop und Spamhaus, amavisd, Greylisting etc filtern lässt.

Aber eine gute Geschäftsidee wäre es schon, einfach mal eine Blacklist aufzubauen, alles erst mal zu Blacklisten, für das Whitelisting Geld zu verlangen und dann irgendwelche Marketingmenschen in größeren Unternehmen dieses System als innovativ zu verkaufen und nochmals die Hand aufzuhalten. Dieser Gedanke könnte einem zumindest in den Sinn kommen, liest man sich diverse Foren im Netz durch.

Einfach nur frustrierend…

UPDATE:

http://packetstormsecurity.org/papers/evaluation/Barracuda_Evil.txt bestätigt meinen Verdacht, dass das Barracuda Zeug einfach nur Müll ist…

16 thoughts on “Suspekte RBLs – Barracuda Central / Barracuda Reputation System

  1. …den Ärger mit Barracuda, kann ich nur bestätigen. Ein Kunde von mir wird z.B. auch bei Barracuda auf der Blacklist geführt – und nur dort.
    Meiner Meinung ist es nicht nachvollziehbar, warum immernoch diese Blacklist überhaupt irgendwo Verwendung findet bzw. wie man sich auf so eine unglaubwürdige Blacklist verlassen können soll, um glaubwürdig Mails zu selektrieren bzw. zu filtern…

  2. Das ist Quatsch. Barracuda rejected nur inakzeptable E-Mails. Zumindest bis jetzt. Ich werde das natürlich weiter beobachten.

    1. https://dl.packetstormsecurity.net/papers/evaluation/Barracuda_Evil.txt

      Barracuda Spam Firewall
      This device, sold by Barracuda Networks, is an appliance meant to plug in and
      begin filtering SPAM from your incoming SMTP. It features a decent web
      interface and some nice features.

      However, there are a few pretty major implications that anyone evaluating or
      currently using one of these devices should be aware of:

      1. I believe this device to be in violation of the GPL.
      Under the hood, this appliance is an AMD-based Lintel box, running Mandrake
      9.1. Among several other GPL softwares on the machine, Barracuda makes no
      mention of the GPL nor does it provide source code on it’s site (Remember
      Linksys?) Please, correct me if I’m wrong. I’m no expert on the GPL, but I’m
      pretty sure this is a no-no.

      2. Barracuda Networks will not provide you the passwords of any shell accounts
      on the system, yet will maintain this account information internally.
      I wouldn’t trust everyone at Microsoft to have the only Administrator account
      to my Exchange server, so why would I trust Barracuda Networks to have the
      only root password to my SF Appliance? Your guess is as good as mine.

      3. Although the remote administration interface (ssh) **can** be
      disabled, it’s enabled by default. They’ve left an iptables nat table in place that allows
      one of their IP addresses to port forward STMP (TCP25) to SSH (TCP22) (The
      other IP nats SMTP to TCP8000, where your Web Interface lives). Anyone with
      access to the host located at 205.158.110.61 can ssh to your Barracuda
      Appliance at any time… you do not have to initiate anything if you’ve exposed
      SMTP on the Internet for your MX (as is the recommended deployment method).

      3a. Another feature, beneath Advanced, Troubleshooting, and called Establish
      Connection To Barracuda Central, makes a reverse SSH tunnel to
      support01.barracudanetworks.com… from there, anyone at Barracuda Networks
      can SSH back to your box, even if you have inbound SSH (or SMTP) firewalled off.
      Because the connection is in reverse, a typical SPI (Stateful) firewall will allow
      traffic back in!

      To learn more about this, notice that this “feature” is susceptible to DNS
      poisoning… all you have to do is point the appliance at a DNS server that
      will return the IP address of an SSH server under your control when it goes
      to look up support01.barracudanetworks.com… you’ll see the box
      authenticate as redir@support01.barracudanetworks.com using a public key
      printed in the web interface (stored in ~/.ssh/authorized_keys).

      4. Any body who knows anything about firewalling should be major pissed about this,
      as their recommended deployment is to have TCP25 exposed to the Internet, for the
      purpose of MXing… little do folks know that by doing this, you leave your
      web interface and ssh shells (for which you do not have the password) open to
      Barracuda Networks, for access whenever they please (see #3).

      5. The appliance also sports a pair of nice features: Single Sign-on and
      Exchange Accelerator. HOWEVER! If anyone at Barracuda Networks can shell into
      your appliance at any time, there’s nothing preventing them from pulling out
      all your LDAP data and/or your entire Active Directory/Exchange LDAP. I don’t
      trust everyone who works at Barracuda Networks, do you? Just imagine your entire
      Global Address List queried by some disgruntled employee and sold to a porn
      advertiser (see #4).

      6. After reviewing the Barracuda Networks forum, I’ve noticed that many people
      are asking for some pretty basic features, like static-routes, FTP access, and
      shell access. Currently the only way to get static-routes enabled is to have
      support do it. FTP is currently a requested feature, but not available. And
      support will not give out any shell account information.

      As a sysadmin, I find myself conflicted with all this information. On one
      hand, I like the appliance, and would recommend it for what it appears to do
      well: filtering spam. The box uses a clever mix of perl, MySQL, spamassassin,
      and apache, to do it’s job. And while I’m all for seeing the furthering of
      Linux-based solutions in the IT industry, I can’t help but see several
      major problems with the device that need to be made well-known.

      The fact that I can’t get root, the hiding of the internal workings, potential
      violations of the GPL, and the creepiness of the level of access tech support
      has to the box motivated me to hack it into fish sticks.

      Buying this box feels like buying a car with a LINUX bumper sticker that has
      the hood padlocked… and if I need the oil changed, there’s only one shop in
      the whole world that knows the combination. This is how Barracuda sells Instant
      Replacement warrantees.

      I can only recommend that users and evaluators of the Barracuda Spam Firewall
      not remain ignorant! Educate yourself about the inner workings. Anyone
      concerned with any of these accusations need to continue on and see for themselves.

      TESTING THE PORT 25 “SHELL” NAT TABLE REDIRECTION
      1. Change the IP of the Barracuda device to 205.158.110.1, with a netmask of
      255.255.255.0
      2. Connect the appliance (via ethernet) to another PC addressed at 205.158.110.61
      3. From the 205.158.110.61 PC, ssh:
      ssh admin@205.158.110.1 -p 25
      4. Witness the prompt for a ssh (!) password, despite the fact you’ve
      theoretically connected to the SMTP TCP port.

      Now, to their credit, the Enable Remote Support: No option in the web
      interface really does work: it firewalls off all local requests for the ssh
      server. The problem is that none of this stuff is explained in any of the
      documentation I’ve seen so far, and I think if this stuff was better known, there
      would be need for concern. Perhaps this is just all paranoia?

      ACQUIRING A ROOT SHELL ON YOUR BARRACUDA DEVICE – WITHOUT OPENING THE CASE
      Note: I was able to use the following well-known root password recovery method
      for gaining a supposedly impossible root shell to the appliance. These
      instructions are based on a Spam Firewall 300 device, so your mileage may
      vary.

      Because the default LILO timeout is “5” (meaning 5/10 of a second) you need to
      have very quick and accurate fingers to do this. If you slip up and wait more
      that half a second between key presses, LILO will timeout and not boot that
      string that you want.

      If you kicked ass at Mortal Kombat, you’ll have no problem here. Everyone
      else may need to reboot a few times to get it right.

      1. Connect a VGA monitor and PS/2 keyboard to the appliance.
      2. Reboot the unit with Ctrl+Alt+Delete.
      3. Wait for first screen of BIOS tests to complete.
      4. As soon as this screen disappears, start hitting Ctrl-Break repeatedly,
      interrupting the LILO timeout.
      5. Once the screen goes blank a second time (while the LILO GUI is rendered),
      rapidly hit the up and down arrows, scrolling through the LILO GUI menu options.
      6. You should be left with a pretty Mandrake 9 LILO GUI, with your fingers
      rapidly keeping the stupid thing from timing out.
      7. Continue to repeatedly hit the up and down arrows until you are prepared for
      the next key sequence.
      8. Quickly! Hit escape, clearing the LILO GUI, and returning you to the text
      LILO: prompt… the screen will go black momentarily, while the LILO GUI is
      cleared. Don’t wait for the prompt to appear, immediately type
      “linux init=/bin/bash” and hit enter. In short, the sequence would be:
      ESC – linux init=/bin/bash – ENTER
      9. The system will load the kernel and boot directly into a root shell.
      10. Remount the root file system read-write with: mount -o remount,rw /
      Now that you have a shell, you can open the system in a variety of ways. For
      starters, “passwd root”. (Consider backing up /etc/shadow first, though)

      Barracuda has made a mistake in not password-protecting LILO and not leaving
      the timeout at 5/10 of a second. They may close this hole in the future, so be
      weary of any future “firmware” updates.

      With a root shell, you are free to eradicate the system of creepy iptables nat
      firewall forwarding, unknown shell passwords, etc. Install FTP! Manage your OWN
      static-routes! Promote knowledge sharing, open source, and open standards!
      Customize their software inside
      /home/emailswitch/code/firmware/current/web/cgi-bin ! It’s your box, you paid
      for it, do with it what you will.

      When I started working with the Barracuda evaluation unit, I, at no point was ever
      presented with any EULA, paper, electronic or otherwise, forbidding the
      use/misuse of the device in the manner described here. Much like moding
      XBoxes, they may try to find a way to determine that this is somehow illegal.
      At this time, I have not seen anything forbidding any of the activities
      explained here.

      Use this information at your own risk. It is meant for learning and exploring
      how the device works – and doesn’t – (see “Hacker”) and not for the
      purpose of destroying, pirating, or otherwise abusing (see “Cracker”) the
      company or it’s products.

  3. Bevor Ihr so ein Schwachsinn schreibt solltet ihr erst mal genauer prüfen. Ich nutze sämtliche Open Source soft um Spam zu filtern clamav, spamassi etc. Problemfall:
    Einige Kunden leiten eingehende E-Mails an GMail und Hotmail weiter. Trotz Software und Blacklists wurde ich desöfteren von den großen gerügt oder temp. gesperrt. Lösung! Die angemahnten IPs und den Nachrichteninhalt geprüft. Fazit: Der Mailinhalt war eindeutig Bösartig/Spam. Das einbinden von Barracuda löste somit mein Problem vollständig.

  4. Der ist immer noch aktiv. Heute erfahren von einem (der wenigen) Nutzer meines privaten Mailservers: Er könne eine Mail nicht versenden. Grund: Barracuda. Der Mailserver ist relativ neu, in anderen Blacklists nicht gelistet, und ich bin gespannt, ob mein Austragsbegehren zur Kenntnis genommen wird.

    Nicht einmal ein konkreter Grund für den Eintrag wird genannt, nur ein paar Möglichkeiten – bei denen ich sehr sicher bin, daß sie auf meinen Server nicht zutreffen. Allein daß ich keinen Anhaltspunkt bekomme, woran es liegt, sagt mir, daß der Laden unseriös ist.

    Achja, und im Gegensatz zu hier ist das Captcha dort fast unlösbar. Ich hab etwa 8 Versuche gebraucht, um meine Nachricht loszuwerden.

  5. Was schreibt der da?
    “Das was bei Barracuda-Central eingeht sind von Kunden per Outlook-Plugin oder Webinterface aktiv als Spam markierte Mails”

    Was soll das für ein Plugin sein? Eins von Barracuda? Ganz grosses Kino!

    Abgesehen davon:

    Wenn ein User zu dämlich ist, den bestellten Newsletter wieder abzumelden, sollte man den User aus dem Verkehr ziehen und nicht den Mailserver.

    Und Postmaster, die Barracuda als einzige RBL nutzen, gleich mit.

  6. Barracuda blockt sinnlos und OHNE auf Fehler zu reagieren. Höchst *dubioses* Gebaren und wird von mir KEINERLEI gute Kritik erhalten. Mein Fazit, nach viel Mühen und Goodwill…

    Hände weg, Finger weg, scheint ‘ne üble Abzocke zu sein!

  7. Hi,
    ich arbeite in einem Hotel – und kann einer Reservierungsanfrage durch diesen Barracuda Central Reputation System – Filter -keine Mitteilung für die Zimmer schicken. Gibt es da eine Umgehung? Meine ohne sich da anmelden zu müssen!
    Danke für jeden Tip

  8. … (continued):… dieselbe Methode: anlocken, abhängig machen und dann kräftig ausbeuten.

  9. Also ich finde solche Machenschaften auch höchst suspekt, mal warten wie lange es noch dauern wird, bis google und co eine neue, supertolle Blacklist rausbringt. Herdenhaft werden die Admins auch diese einbauen und in kurzer Zeit wird sie zum Standard und paar Tage später kostet es dann wieder. Ist doch immer dieselbe Methode

  10. den grund für das blocken wird man nie erfahren. wenn die IP allerdings NIE in einer der vielen anderen BL’s landet, kann man schon an willkür denken.
    wenn barracuda einen am kieker hat, wird man die nicht mehr los. außer man kauft eine von deren appliances.. sauteuer, und man bekommt kein root.

  11. sich bei emailreg.org zu registrieren bringt rein gar nichts. barracuda schreibt zwar auf seiner webseite:
    Barracuda Reputation System honors domains registered at EmailReg.org. If you want to avoid email with your domain and IP being inadvertently blocked, you can register your domain at EmailReg.org.
    emailreg.org schreibt aber:
    There appears to be some confusion that EMAILREG.ORG is a way to get off of some of the Barracuda IP Block lists (BRBL). This is not the case. Emailreg.org is primarily a whitelist of IP’s with domains. It does not have any impact on Barracuda Networks block lists such as the BRBL. If you want to be delisted from a Barracuda Block List please contact Barracuda Networks at their technical site: http://www.barracudacentral.org
    daß emailreg.org von barracuda betrieben wird nur nebenbei.
    bei emailreg.org registrierte adressen werden trotzdem in der barracuda bl geblockt.

  12. Entschuldigung aber das ist einfach Blödsinn
    Barracuda blockt nicht wahllos

    Das was bei Barracuda-Central eingeht sind von Kunden per Outlook-Plugin oder Webinterface aktiv als Spam markierte Mails

    Kunden sind Leute die so eine Appliacne ihr eigen nennen wie wir:
    http://www.barracudanetworks.com/ns/products/spam_specs.php

    Die Qualität, Effizienz und konfigurierbarkeit kannst du in einem ganzen Leben nicht alleine nachbauen, geschweige denn Inhaltsfilter stündlich anhand tausender User die Spam melden auch nur halbwegs aktuell halten

    Du kannst davon ausgehen dass ihr oder einer eurer Kunden nicht nur einmal schlecht aufgefallen seid und von mehr als nur einem Barracuda-Kunden der Server gemeldet wurde

    1. Kann sein dass nicht wahllos geblockt wird, dennoch ist diese Appliance nach wie vor Müll und das Geschäftsgebaren ist auch sehr suspekt.

      Weiterhin lässt sich so ein System natürlich auch mit Opensource Mitteln nachbauen, dazu verwendet mann dann z.b. Postfix Policyd, ClamAV, Spamassassin, Pyzor
      und fragt dazu noch diverse RBLs ab wie z.B. SpamCop etc, auch hier wird der SPAM ja von Unsern gemeldet.

  13. Wir haben selbiges Problem mit Mails aus dem Büro, die an E-Mail-Server gehen, welche sich mit der Barracuda List “schützen”. Gelistet sind wir komischer Weise in den “großen” Anti-Spam-Listen nicht.

Comments are closed.