Site-ul tău trimite spam fără să știi și ți-a ajuns IP-ul pe blacklist: cum afli, cum cureți și cum delistezi

Într-o dimineață, un client nu îți mai răspunde la oferta trimisă cu o zi în urmă. Suni, iar omul îți spune calm că emailul tău a aterizat direct în spam. Verifici și vezi că nu e un caz izolat: jumătate din mesajele tale către clienți se întorc cu o eroare ciudată, în care apare cuvântul „Spamhaus". Tu nu ai schimbat nimic. Și totuși, ceva trimite spam în numele tău, iar internetul a început să te trateze ca pe un spammer.

Vestea proastă e că, foarte probabil, chiar serverul sau site-ul tău trimite spam fără ca tu să știi, iar IP-ul de pe care pleacă mailul a ajuns pe o listă de blocare. Vestea bună e că se rezolvă, dar numai dacă faci pașii în ordinea corectă. Iar ordinea contează enorm: cei mai mulți se grăbesc să ceară scoaterea de pe listă, sar peste curățenie și sunt relistați în câteva ore. Hai să o luăm ca la carte.

Cum îți dai seama că site-ul tău trimite spam

Semnele sunt rareori subtile, doar că le confundăm cu altceva. Cel mai frecvent prim semnal e o notificare de la firma de găzduire: ți-au suspendat contul de email sau ți-au trimis un avertisment de abuz, fiindcă au văzut un val de mesaje plecând de la tine. Apoi vine inundația de mesaje „delivery failed" pentru emailuri pe care nu le-ai trimis niciodată, ecoul campaniei de spam care a folosit adresa ta.

În paralel, emailurile tale reale încep brusc să pice sau să ajungă în spam, deși SPF, DKIM și DMARC sunt în regulă. Apar clienți care îți spun, jenați, că au primit „de la tine" un mesaj dubios cu un link. Serverul devine lent, iar coada de mail e umflată cu mii de mesaje în așteptare. Oricare două dintre aceste semne, împreună, înseamnă aproape sigur că ești sursa, nu victima colaterală.

De ce trimite spam un site la care nimeni nu s-a atins

Tocmai pentru că nimeni nu s-a atins de el. Un site lăsat în pace e un site neactualizat, iar boții găsesc exact genul ăsta de țintă. În ordinea în care le văd cei care curăță site-uri, cauzele tipice sunt acestea.

Cel mai des, un CMS compromis, de regulă WordPress, printr-un plugin sau o temă veche ori piratată. Odată intrat, atacatorul urcă un script de tip „mailer" sau un web shell, un fișier PHP discret (prin foldere ca wp-content/uploads, cu nume gen mail.php sau send.php) care primește o listă de destinatari și trimite spam în masă. Acesta e, de cele mai multe ori, chiar motorul care expediază. Pe locul următor sunt formularele de contact sau de înregistrare neprotejate, abuzate ca releu deschis: un bot le completează automat și le folosește ca să trimită mail către oricine. Urmează credențialele de SMTP sau de cPanel furate prin phishing sau prin malware care fură parole, cu care atacatorul se autentifică drept tine și trimite mail „legitim". Mai rar, dar real: un cont de email individual cu parolă slabă și fără doi factori, malware direct pe server sau un releu SMTP prost configurat, lăsat deschis pe un server mai vechi.

Spamul e, în fond, doar simptomul. Sub el stă, aproape întotdeauna, o spargere. De aceea merită citite și semnele clasice că un site a fost spart și lista de măsuri din ghidul despre cum protejezi un site WordPress, fiindcă acolo stau cauzele pe care le cureți acum.

Cum verifici pe ce blacklist ești și ce înseamnă fiecare

Înainte să repari, vrei o radiografie clară. Cel mai rapid instrument e MXToolbox Blacklist Check: îi dai IP-ul serverului tău de mail și îl testează deodată pe peste 100 de liste. Pentru Spamhaus, mergi direct la check.spamhaus.org, care acceptă atât IP, cât și domeniu și îți spune pe ce listă ești și din ce cauză. Pentru o verificare amănunțită, multirbl.valli.org adună peste 200 de liste. Iar pentru cum te vede Gmail, te uiți în Google Postmaster Tools.

Important e să citești corect rezultatul, pentru că lista pe care apari îți spune deja cauza. O listare pe XBL trimite aproape sigur spre o compromitere, deci acolo cauți spargerea. O listare pe CSS înseamnă că de pe IP-ul tău pleacă email cu reputație proastă, cel mai des tot din cauza unei spargeri, dar uneori doar dintr-o configurare proastă sau din practici de trimitere neglijente. PBL înseamnă că trimiți direct de pe un IP care nu ar trebui să trimită mail (tipic, o adresă dinamică sau rezidențială), deci soluția e să folosești un server de trimitere autentificat, nu să te delistezi. DBL înseamnă că nu IP-ul, ci chiar domeniul tău e marcat. Și o curățenie de igienă: dacă vreun tutorial mai vechi îți spune să verifici SORBS, ignoră-l. SORBS a fost închis în 2024 și nu mai conține date, deși unele unelte încă îl afișează din inerție.

Cum cureți cauza și delistezi, în ordinea corectă

Aici se câștigă sau se pierde tot. Regula de aur, scrisă chiar de Spamhaus, e simplă: întâi curățenia, apoi confirmarea că s-a oprit, abia la final delistarea. Dacă inversezi pașii, te relistezi singur.

Două precizări care îți scutesc timp pierdut. Prima: numele vechi „Blocklist Removal Center" al Spamhaus a fost scos din uz, instrumentul actual e chiar verificatorul de la check.spamhaus.org, așa că nu mai căuta pagina veche din tutoriale. A doua: pentru PBL există auto-delistare, dar numai dacă IP-ul e static, e al tău, rulează un server de mail și are DNS direct și invers corect; cererile de pe adrese de Gmail sau Yahoo sunt respinse automat.

Vecinul de pe găzduirea partajată care te bagă pe blacklist

Există și scenariul în care chiar nu e vina ta. Pe găzduire partajată împarți un singur IP de ieșire cu zeci sau sute de alte site-uri. Dacă unul dintre vecini e compromis și trimite spam, IP-ul comun ajunge pe blacklist, iar mailul tău suferă deși tu nu ai greșit cu nimic.

Problema e că un IP care nu e al tău nu îl poți delista singur, fiindcă regulile cer să fie sub controlul tău. Aici furnizorul de găzduire trebuie să intervină: să curețe contul vinovat și apoi să ceară scoaterea. Dacă povestea se repetă și reputația ta de expeditor are de suferit constant din cauza vecinilor, semnul e clar că ai depășit găzduirea partajată. Soluția durabilă e un IP dedicat sau, și mai bine, trimiterea emailurilor printr-un serviciu de email tranzacțional autentificat, separat de site.

Cum previi să se repete

Odată ieșit din criză, închizi ușile pe viitor. Pe partea de email, configurează corect SPF, DKIM și DMARC, mai ales că Gmail și Yahoo le cer oricum expeditorilor de volum. Nu trimite mail direct cu funcția PHP mail(), ci printr-un releu SMTP autentificat sau un serviciu dedicat, fiindcă mailul nesemnat de pe găzduire e ușor de abuzat și de respins.

Pe partea de site, ține CMS-ul și pluginurile la zi, pune doi factori pe găzduire și pe conturile de email, întărește formularele și monitorizează volumul de mail care pleacă, ca să prinzi un vârf suspect din prima zi, nu din notificarea de suspendare. Peste toate, un firewall pentru aplicații web (WAF) gestionat oprește o bună parte din exploatările prin care intră, în primul rând, scripturile de spam.

Și un ultim aspect, ușor de uitat în graba curățeniei: dacă spargerea care a dus la spam a expus și date cu caracter personal (de exemplu baza de clienți sau conținutul căsuțelor), intri sub obligația GDPR de a notifica ANSPDCP în cel mult 72 de ore de când afli. În plus, poți raporta incidentul la DNSC, la numărul 1911, apelabil din orice rețea la tarif normal. Spamul în sine nu e automat o breșă de date, dar compromiterea din spatele lui poate fi.