Multi DNSBL Check & Notify vi permetterà di interrogare una numerosa selezione di DNS-based blackhole list al fine di scoprire se all'interno di esse siano presenti gli indirizzi IP pubblici della connessione oppure del server di posta elettronica aziendale.

Benché normalmente questa attività di ricerca venga svolta soltanto per la risoluzione di eventuali problemi legati alla spedizione della posta elettronica aziendale, i risultati forniti dalle DNSBL, se osservati da un altro punto di vista, possono essere utilizzati anche al fine di rilevare la presenza di malware all'interno della rete LAN.

A tale scopo Multi DNSBL Check & Notify mette a disposizione una funzione di notifica e-mail, pianificando l'esecuzione periodica e automatica dello script potrete infatti ricevere un avviso via e-mail qualora gli indirizzi IP da voi prescelti dovessero essere individuati all'interno di una o più liste di blocco.

La caratteristica appena descritta, che ad una prima riflessione potrebbe apparire piuttosto superflua, può diventare in realtà molto utile se pensate che il fatto di essere presenti all'interno di una block list normalmente costituisce un campanello di allarme piuttosto indicativo: spesso si tratta di un sintomo riconducibile alle attività svolte da Worm e Bot C&C che sfruttano il protocollo SMTP per diffondersi automaticamente e spedire spam.

Uno dei vostri indirizzi IP è contenuto in una DNSBL? Scopritene il motivo collegandovi al sito della lista ed utilizzando il codice di risposta fornito da Multi DNSBL Check & Notify, se la motivazione fosse correlata ad una forte attività di spamming proveniente dalla vostra rete allora potrebbe essere giunto il momento di fare un controllo approfondito di tutto il traffico in uscita dalla LAN.

Lo script è di tipo WSF quindi va eseguito con il motore "cscript.exe", è necessario fornire i parametri di esecuzione attraverso il prompt dei comandi.

^[1]

Sintassi

Per l'help digitare: cscript multi_dnsbl_check_notify.wsf /?

Sintassi completa: cscript multi_dnsbl_check_notify.wsf IPAddress [/mailto:value] [/mailfrom:value] [/mailserver:value] [/mailport:value] [/mailauth:value] [/mailssl] [/mailforce] [/log] [/version]

Opzioni

• IPAddress (obbligatorio): l'indirizzo IP da verificare, utilizzare la virgola come separatore per specificare più indirizzi (esempio: 193.45.123.67,193.45.123.68,193.45.123.69)
• /mailto (opzionale): impostando questo parametro si abilita la funzionalità di notifica via e-mail, il valore da assegnare costituisce l'indirizzo di posta elettronica del destinatario (esempio: /mailto:mirko@notageek.it)
• /mailfrom (opzionale): l'indirizzo di posta elettronica che dovrà apparire come mittente delle notifiche e-mail (esempio: /mailfrom:dnsbl_check@notageek.it)
• /mailserver (opzionale): l'indirizzo IP oppure l'hostname del server SMTP da utilizzare per la spedizione delle notifiche e-mail, non impostare questo parametro se il server SMTP da utilizzare è installato sul localhost "127.0.0.1" (esempio: /mailserver:192.168.0.200)
• /mailport (opzionale): la porta TCP del server SMTP, nella maggior parte dei casi non sarà necessario impostare questo parametro poiché il suo valore predefinito è 25 (esempio: /mailport:465)
• /mailauth (opzionale): abilita il supporto all'autenticazione di base SMTP, è necessario specificare i valori nome utente e password separati da virgola (esempio: /mailauth:utente,password)
• /mailssl (opzionale): abilita il supporto SSL per la connessione al server SMTP, non è necessario specificare nessun valore (esempio: /mailssl)
• /mailforce (opzionale): utilizzare questa opzione se si desidera ricevere le notifiche e-mail anche nel caso in cui gli indirizzi IP non dovessero comparire in nessuna delle DNSBL, non è necessario specificare nessun valore (esempio: /mailforce)
• /log (opzionale): abilita la creazione di un file di log denominato "multi_dnsbl_check_notify_log.txt", non è necessario specificare nessun valore (esempio: /log)
• /version (opzionale): visualizza la versione dello script ed il changelog, non è necessario specificare nessun valore (esempio: /version)

Esempi

1. Verificare l'indirizzo 193.45.123.67 visualizzando i risultati soltanto nel prompt dei comandi.

   cscript multi_dnsbl_check_notify.wsf 193.45.123.67

2. Verificare gli indirizzi 193.45.123.67,193.45.123.68 e 193.45.123.69 e creare un file di log in cui memorizzare i risultati.

   cscript multi_dnsbl_check_notify.wsf 193.45.123.67,193.45.123.68,193.45.123.69 /log

3. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso un servizio SMTP installato localmente (127.0.0.1).

   cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it

4. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso il server SMTP remoto "192.168.0.200" utilizzando l'autenticazione base "utente,password".

   cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it /mailserver:192.168.0.200 /mailauth:utente,password

5. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso un servizio SMTP installato localmente (127.0.0.1), grazie all'opzione /mailforce le notifiche verranno spedite anche se l'indirizzo IP specificato non dovesse comparire all'interno di nessuna delle liste di blocco.

   cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it /mailforce

Download

Changelog

• 12/08/2010 - Multi DNSBL Check & Notify – rilascio iniziale