- notageek.it di Mirko Iodice - http://www.notageek.it -

Multi DNSBL Check & Notify – Ita

Multi DNSBL Check & Notify vi permetterà di interrogare una numerosa selezione di DNS-based blackhole list al fine di scoprire se all'interno di esse siano presenti gli indirizzi IP pubblici della connessione oppure del server di posta elettronica aziendale.

Benché normalmente questa attività di ricerca venga svolta soltanto per la risoluzione di eventuali problemi legati alla spedizione della posta elettronica aziendale, i risultati forniti dalle DNSBL, se osservati da un altro punto di vista, possono essere utilizzati anche al fine di rilevare la presenza di malware all'interno della rete LAN.

A tale scopo Multi DNSBL Check & Notify mette a disposizione una funzione di notifica e-mail, pianificando l'esecuzione periodica e automatica dello script potrete infatti ricevere un avviso via e-mail qualora gli indirizzi IP da voi prescelti dovessero essere individuati all'interno di una o più liste di blocco.

La caratteristica appena descritta, che ad una prima riflessione potrebbe apparire piuttosto superflua, può diventare in realtà molto utile se pensate che il fatto di essere presenti all'interno di una block list normalmente costituisce un campanello di allarme piuttosto indicativo: spesso si tratta di un sintomo riconducibile alle attività svolte da Worm e Bot C&C che sfruttano il protocollo SMTP per diffondersi automaticamente e spedire spam.

Uno dei vostri indirizzi IP è contenuto in una DNSBL? Scopritene il motivo collegandovi al sito della lista ed utilizzando il codice di risposta fornito da Multi DNSBL Check & Notify, se la motivazione fosse correlata ad una forte attività di spamming proveniente dalla vostra rete allora potrebbe essere giunto il momento di fare un controllo approfondito di tutto il traffico in uscita dalla LAN.

Lo script è di tipo WSF quindi va eseguito con il motore "cscript.exe", è necessario fornire i parametri di esecuzione attraverso il prompt dei comandi.

multi_dnsbl_check_notify.png [1]


Sintassi

Per l'help digitare: cscript multi_dnsbl_check_notify.wsf /?

Sintassi completa: cscript multi_dnsbl_check_notify.wsf IPAddress [/mailto:value] [/mailfrom:value] [/mailserver:value] [/mailport:value] [/mailauth:value] [/mailssl] [/mailforce] [/log] [/version]

Opzioni

Esempi

  1. Verificare l'indirizzo 193.45.123.67 visualizzando i risultati soltanto nel prompt dei comandi.
    cscript multi_dnsbl_check_notify.wsf 193.45.123.67
  2. Verificare gli indirizzi 193.45.123.67,193.45.123.68 e 193.45.123.69 e creare un file di log in cui memorizzare i risultati.
    cscript multi_dnsbl_check_notify.wsf 193.45.123.67,193.45.123.68,193.45.123.69 /log
  3. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso un servizio SMTP installato localmente (127.0.0.1).
    cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it
  4. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso il server SMTP remoto "192.168.0.200" utilizzando l'autenticazione base "utente,password".
    cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it /mailserver:192.168.0.200 /mailauth:utente,password
  5. Verificare l'indirizzo 193.45.123.67 e abilitare la notifica e-mail per "mirko@notageek.it" da "dnsbl_check@notageek.it" spedita attraverso un servizio SMTP installato localmente (127.0.0.1), grazie all'opzione /mailforce le notifiche verranno spedite anche se l'indirizzo IP specificato non dovesse comparire all'interno di nessuna delle liste di blocco.
    cscript multi_dnsbl_check_notify.wsf 193.45.123.67 /mailto:mirko@notageek.it /mailfrom:dnsbl_check@notageek.it /mailforce

Download

multi_dnsbl_check_notify.zip [2] | versione 1.0 | ultimo aggiornamento 12.08.2010

Changelog