Если ваши письма не доходят до адресатов, а на сервере установлены правильные SPF/DKIM записи, виноват скорее всего IP blacklist. Ваш адрес может попасть в чёрный список без вашего участия — например, если хостер повторно использует IP'ы, или сервер был взломан. Одна запись в Spamhaus — и почти все письма идут в спам.
Это руководство объясняет что такое IP blacklist'ы, как туда попадают, какие крупные сервисы используют эти базы, и как правильно делистироваться без потери репутации отправителя. Будут примеры реальных ситуаций и пошаговая инструкция для каждого основного листа.
Что такое IP blacklist
IP blacklist (DNSBL, DNS-based blacklist) — это управляемая база данных IP-адресов, известных отправкой спама или вредоносной деятельностью. Когда почтовый сервер получает письмо, он проверяет IP отправителя в этих базах: если IP есть в листе, письмо может быть отклонено, помещено в спам или помечено как подозрительное.
Основные функции blacklist'ов:
• Фильтруют спам на уровне SMTP (до попадания на сервер)
• Предотвращают атаки от скомпрометированных серверов
• Блокируют open relay'и и проксии
• Быстро реагируют на новые botnet'ы
Главное: IP blacklist'ы — это не "список плохих ребят", а инфраструктура защиты от спама и атак. Они поддерживаются anti-spam организациями и постоянно обновляются. Gmail, Outlook, Yahoo Mail проверяют эти листы автоматически перед тем как принять письмо.
Крупные провайдеры blacklist'ов
Spamhaus (самый влиятельный)
Основан: 1997, некоммерческая организация
Листы: Zen (основной), PBL (residential proxy), SBL (direct complaints)
Охват: используется в 80% крупных провайдеров (Gmail, Outlook, Yahoo)
Удаление: проверка IP в течение 24 часов, автоматическое или по запросу
Barracuda Networks
Тип: коммерческая компания безопасности
Метод: машинное обучение + сигнатуры спама
Преимущество: более гибкое удаление, чем Spamhaus
Процесс: обычно автоматическое удаление через 24-48 часов после снижения спама
SORBS (Self-Organized Networked Blacklist Service)
Характер: самоорганизующийся список
Точность: может содержать устаревшие данные (требует большей осторожности)
Удаление: требует отправки запроса и иногда подтверждения
Совет: проверяйте SORBS последним, так как его критерии менее строгие
SpamCop и CBL
SpamCop: основан на жалобах пользователей, быстрое добавление, но и быстрое удаление
CBL (Composite Block List): фокусируется на botnet'ах и скомпрометированных ПК
Совет: если вы в этих листах, возможно, сервер взломан. Сначала включите аудит безопасности.
Как IP попадает в blacklist
Сценарий 1: взломанный сервер (50% случаев)
Атакующий получает доступ к вашему серверу через уязвимость или слабый пароль и настраивает его для отправки спама. За часы ваш IP получает тысячи жалоб и попадает в Spamhaus. Признаки: неожиданный трафик на портах 25 (SMTP), 587, 465; высокое использование CPU; процессы sendmail/postfix работают аномально.
Сценарий 2: open relay (15% случаев)
Почтовый сервер неправильно настроен и принимает письма от кого угодно без аутентификации. Спамеры используют его как прокси для отправки своих писем. Ваш IP становится источником спама, хотя письма идут не от вас.
Сценарий 3: легальная рассылка со слабой репутацией (20% случаев)
Вы отправляете рассылку на базу контактов со слишком высоким percentage отписок или жалоб на спам. Gmail/Outlook отмечают письма как спам, провайдеры получают жалобы, IP попадает в лист. Особенно опасно на shared IP'е, где один плохой отправитель портит репутацию всем остальным.
Сценарий 4: shared hosting IP (10% случаев)
Вы на shared IP с другими клиентами. Один из них отправляет спам или его сервер взломан. Весь IP'е блокируется. Даже если вы ничего не делали, все на этом IP'е страдают. Это главная причина, почему enterprise'ы используют dedicated IP'ы.
Сценарий 5: динамический IP (5% случаев)
У вас статический IP, но провайдер переназначил его. Предыдущий владелец этого IP'а был спамером. IP остался в blacklist'ах, и теперь нарушает ваши письма. Вам нужно просить провайдера подать запрос на удаление от имени текущего хозяина IP'а.
Как blacklist влияет на вас
Последствие 1: письма идут в спам или блокируются
Gmail, Outlook, Yahoo Mail получают письмо с вашего IP, проверяют его в Spamhaus (\< 1ms), видят запись, отклоняют письмо или помещают в папку "Спам". Отправитель не знает почему письмо не дошло, нет error message, просто бесшумный отказ.
Последствие 2: потеря доверия (долгоживущее)
Даже после удаления из blacklist'а, провайдеры запоминают ваш IP. Первые письма могут идти в спам неделю или две. Gmail использует IP reputation score который учитывает историю. Восстанавливаться долго.
Последствие 3: риск для бизнеса
Потеря email коммуникации = потеря клиентов. Alert'ы о важных событиях не доходят. Billing уведомления блокируются. Восстановление пароля не приходит. На e-commerce это может стоить 10-50% от выручки.
Важный факт: Gmail и Outlook не сообщают отправителю о блокировке IP в Spamhaus. Письма просто пропадают в спам. Вы узнаёте об этом только если клиент говорит "ваше письмо в спаме" или если вы сами проверяете deliverability.
Как проверить, в чёрном ли списке ваш IP
Используйте онлайн tool'ы которые проверяют ваш IP'е против десятков blacklist'ов за раз:
Вариант 1: MXToolbox
1. Перейти на mxtoolbox.com
2. Выбрать "Blacklist Lookup"
3. Ввести ваш IP'е (например, 192.0.2.1) и нажать Check
Вариант 2: AtomPing Blacklist Checker (самый быстрый)
Перейти на /tools/blacklist-checker — это специализированный tool для проверки репутации IP'а. Результаты показывают не только в каких листах вы, но и часто причину добавления и инструкции по удалению.
Вариант 3: Google Postmaster Tools
1. Перейти на postmaster.google.com
2. Добавить домен — Google покажет вашу reputation и any issues на их стороне
Пошаговое делистирование
Шаг 1: Найти первопричину
Перед тем как запрашивать удаление, НУЖНО исправить проблему. Если вы просто удалитесь из листа, а сервер остался взломанным, вы попадёте туда же через день.
Проверьте:
1. netstat -tuln | grep 25 — запущен ли SMTP server
2. Логи sendmail/postfix на предмет странных отправок
3. Файервол и разрешённые IP'ы в конфиге SMTP
4. Пароли на хостинг-панели и SSH (root, admin забыть поменять нельзя)
5. Установленные приложения на сервере на предмет backdoor'ов
Шаг 2: Удаление из Spamhaus (самый критичный)
Spamhaus — главный лист. Если вы там, Gmail и Outlook будут блокировать. Вот как удалиться:
Опция A: Автоматическое удаление (быстро)
1. Перейти на check.spamhaus.org
2. Ввести ваш IP'е
3. Если IP в SBL (Spamhaus Block List) — нажать "Request Removal"
4. Spamhaus проверяет, прекратился ли спам. Если да, удаляет за 24 часа
Опция B: Письмо на support@spamhaus.org (если автоматическое не помогает)
Включить: IP адрес, дату когда проблема возникла, что вы исправили
Spamhaus ответит в течение 48 часов
Шаг 3: Barracuda
Обычно удаляется автоматически через 24-48 часов после остановки спама. Если вручную, используйте barracudacentral.org.
Шаг 4: SORBS
Перейти на sorbs.net, найти ваш IP'е, заполнить форму "Request Removal". SORBS ручной лист, ответ может идти неделю.
Шаг 5: SpamCop
Используйте spamcop.net для проверки. Удаление из SpamCop обычно автоматическое через 24 часа (быстрее всех).
Совет: делистируйтесь в порядке: Spamhaus → Barracuda → SORBS → остальные. Spamhaus самый важный.
Защита от blacklist'ов: SPF, DKIM, DMARC
Даже с чистым IP'ом, письма могут идти в спам если не настроены authentication протоколы. Это также защищает от подмены адреса и повышает доверие провайдеров.
SPF (Sender Policy Framework)
Добавьте TXT запись в DNS домена:
v=spf1 ip4:203.0.113.1 include:sendgrid.net ~all Это говорит почтовым серверам: "письма из моего домена должны приходить с IP 203.0.113.1 или через SendGrid. Остальные подозрительны".
DKIM (DomainKeys Identified Mail)
Подписывает письма криптографическим ключом, подтверждая что письмо реально от вас. Настраивается в почтовом сервере (Postfix, Sendmail) и DNS. Это мощный сигнал легитимности.
DMARC (Domain-based Message Authentication)
Объединяет SPF и DKIM, даёт инструкции что делать с письмами которые не прошли проверку:
v=DMARC1; p=quarantine; rua=mailto:report@example.com p=quarantine говорит "подозрительные письма отправить в спам", а не отклонять (p=reject).
Факт: если у вас настроены SPF/DKIM/DMARC, вероятность попадания в спам снижается на 30-50% даже если IP в списке. Это не гарантирует, но значительно помогает.
Shared IP vs Dedicated IP: почему это важно
Shared IP (за 5$ в месяц)
Преимущества: дешево, иногда уже прогрета репутация провайдера
Недостатки: вы зависите от тысячи других пользователей, один спамер блокирует всех, нельзя контролировать репутацию, нельзя использовать для marketing email'ов
Когда использовать: только для трансакционных писем (пароль, заказ, уведомление) с низким volume'ом
Dedicated IP (за 50-200$ в месяц)
Преимущества: полный контроль репутации, можно наращивать объёмы письм gradually, лучше rate'ы если reputable, можете ориентировать inbox
Недостатки: дорого, нужна "warm-up" период (постепенно увеличивать volume), нужно мониторить reputation
Когда использовать: если отправляете > 10,000 писем в день, или нужна высокая deliverability
Совет для Dedicated IP: когда вы получаете новый dedicated IP'е, он "холодный" — провайдеры его не знают. Начните отправлять 1,000 писем в день в неделю 1, 5,000 в неделю 2, 20,000 в неделю 3. Это называется "warm-up" и показывает провайдерам что это легитимный traffic.
Мониторинг IP'а с AtomPing
Вместо ручной проверки каждую неделю, используйте AtomPing Blacklist Checker чтобы мониторить статус вашего IP'а. Он проверяет против 50+ blacklist'ов автоматически и может отправить alert если IP попадёт в список.
Как использовать:
1. Создайте HTTP check на atomping.com который регулярно проверяет вашу репутацию
2. AtomPing будет поверять IP'е каждый час (или день) автоматически
3. Если IP попадёт в blacklist, вы получите alert по email, Slack или Telegram
Профилактика: как не попасть в blacklist
1. Безопасность сервера
• Меняйте пароли на admin/root + SSH ключи
• Обновляйте ОС и приложения регулярно
• Отключайте SSH по паролю (только ключи)
• Используйте firewall и fail2ban
2. Настройка почтового сервера
• Запретите open relay (проверьте конфиг Postfix/Sendmail)
• Разрешьте SMTP relay только для своих приложений
• Настройте rate limiting (не более N писем за минуту от одного отправителя)
• Настройте reverse DNS (PTR запись)
3. Email marketing practices
• Используйте дву-factor opt-in для подписки
• Предоставляйте clear unsubscribe link в каждом письме
• Чистите список от неактивных (> 6 месяцев) ежеквартально
• Не покупайте списки контактов — это спам
4. Мониторинг
• Проверяйте IP в blacklist'ах еженедельно (используйте AtomPing)
• Смотрите bounce rate и complaint rate в Google Postmaster Tools
• Настройте alert на странный SMTP трафик
Резюме
IP blacklist'ы — это неизбежная часть email инфраструктуры. Они существуют для фильтрации спама, но иногда ловят легитимных отправителей. Главное помнить:
• Проверьте IP в blacklist'ах если письма не доходят
• Исправьте первопричину ДО запроса удаления
• Удаляйтесь из листов по приоритету (Spamhaus → Barracuda → остальные)
• Настройте SPF/DKIM/DMARC для всех доменов
• Используйте Dedicated IP если важна репутация
• Мониторьте репутацию постоянно (автоматически с AtomPing)
• Уделяйте внимание безопасности сервера и конфигу почты
Делистирование обычно занимает 24-48 часов (кроме ручных листов типа SORBS). Это время нужно потратить на поиск уязвимости и исправление, иначе попадёте туда же.
Связанные материалы
AtomPing Blacklist Checker Tool — онлайн проверка вашего IP'а против 50+ листов
DNS Record Types Explained — подробно о SPF, MX, DKIM записях
MX Records Guide — как настроить почтовый сервер правильно
FAQ
What is an IP blacklist and why do they exist?
An IP blacklist (also called DNSBL or DNS-based blacklist) is a database of IP addresses known to send spam or engage in malicious activity. They exist to help email providers, ISPs, and organizations filter unwanted traffic. Major providers include Spamhaus, Barracuda, and SORBS. Your IP can be blacklisted automatically if it's detected sending spam, or it can appear on a blacklist if your server is compromised. Email servers check these lists before accepting mail from you.
How does my IP get blacklisted?
Several ways: (1) Your server is hacked and used to send spam (most common). (2) Your email server is misconfigured as an open relay. (3) You send unsolicited bulk email from your IP. (4) Someone reports your mail as spam frequently. (5) Your shared hosting provider's IP is blacklisted due to another user's behavior. (6) You're on a list that monitors IP reputation without being actively malicious. If your server has weak security (default password, unpatched software), attackers will exploit it to send spam.
What are the main blacklist providers?
The major ones are: Spamhaus (most respected, maintained by anti-spam organization), Barracuda Networks (managed by security company, proactive monitoring), SORBS (self-managed lists with varying accuracy), SpamCop (user-reported spam), and CBL/Composite Block List (focuses on botnet compromised IPs). Email providers weight them differently: Gmail/Outlook heavily rely on Spamhaus, while others use combinations. A single blacklist listing rarely blocks all mail, but multiple listings severely harm deliverability.
How do I check if my IP is blacklisted?
Use online tools like MXToolbox, MultiRBL, or AtomPing's Blacklist Checker (available at /tools/blacklist-checker). Enter your IP address and the tool queries major blacklists in seconds. Results show which lists have your IP, why you're listed (if disclosed), and delisting instructions. Some tools check 80+ lists simultaneously. You should also check your email sending reputation on Google Postmaster Tools and Microsoft Smart Network.
What's the difference between shared IP and dedicated IP?
Shared IP: your email shares an IP with thousands of others (cheaper, but reputation damage from one user affects all). Dedicated IP: you're the only one using it (more control, but you're responsible for reputation). Shared hosting is risky because you inherit other users' bad behavior. If one user on the shared IP sends spam and gets blacklisted, all users on that IP lose deliverability. This is why enterprises and high-volume senders use dedicated IPs with proper warm-up and monitoring.
How long does delisting take?
It depends on the blacklist. Spamhaus can take 24-48 hours after you submit a removal request and fix the underlying issue. Barracuda is usually automatic once the IP stops sending spam (24-72 hours). Some lists are manual and require human review (1-2 weeks). During delisting, use SPF, DKIM, DMARC to signal you're a legitimate sender. Some lists have automated removal if you prove you've secured the IP and comply with standards. The longer you wait, the worse your sender reputation becomes with major providers.