Сетевая слепота и санкционированный спам: Глобальный аудит административного коллапса Selectel (AS50340)

В глобальной архитектуре цифрового пространства доверие перестало быть этической категорией. Теперь это измеряемая техническая константа, выраженная в репутационных баллах IP-адресов и чистоте автономных систем. Когда системный администратор выбирает провайдера уровня Selectel, он подписывает негласный контракт не только на аренду процессорного времени, но и на поддержание сетевой гигиены. Однако инциденты декабря 2025 – января 2026 года вскрывают системную патологию: один из столпов российского ИТ-рынка превратился в тихую гавань для промышленного спама. Этот материал — вскрытие лжи и манифест суверенного администрирования против корпоративного пофигизма.

Глава 1. Инфраструктурный бастион: Почему Phoenix901 видит аномалии в зачатке

Прежде чем перейти к анализу улик, необходимо описать наш «радар». Моя почтовая инфраструктура базируется на стеке Mailcow-dockerized, усиленном кластером Rspamd. В нашей архитектуре каждое входящее SMTP-соединение проходит через многоуровневое сито. Мы анализируем не только формальное соответствие протоколу, но и физику сессии: скорость передачи команд, структуру MIME и репутацию IP в реальном времени.

Когда на такой контур начинает литься поток мусора из подсетей Selectel, система фиксирует это мгновенно. Мы видим атаку в зародыше, пока NOC провайдера спит или, что более вероятно, сознательно игнорирует аномальный трафик, исходящий из собственных сегментов. Промышленный спам — это не просто «лишние письма», это форма несанкционированного потребления ресурсов (L7 DoS), за которую расплачивается принимающая сторона.

Глава 2. Хронология осады: Месяц промышленного спама в AS50340

Анализ логов показывает, что мы имеем дело не с «ошибкой настройки» или «случайным взломом», а со спланированной, методичной кампанией организации acsmobile.ru. Инфраструктура Selectel в данном случае выступает не просто как хостинг, а как идеальный инкубатор для вредоносной активности.

  • Фаза 1 (Декабрь 2025): Разведка боем с IP 178.130.59.211. Оценка реакций фильтров.
  • Фаза 2 (Начало января 2026): Ввод магистральных мощностей. Узел 155.212.159.92 начинает промышленную рассылку. Плотность атак — до 15 сессий в час.
  • Фаза 3 (14 января 2026): Оперативная ротация. К атаке подключается свежий узел 89.104.116.108 в другой подсети провайдера.

Это классическая стратегия «IP-hopping» внутри одной автономной системы (AS50340). Злоумышленники используют инертность службы безопасности Selectel для беспрепятственной ротации своих ресурсов.

Глава 3. Глубокое вскрытие Rspamd: Математика «Смертельного спама»

Давайте заглянем в «черный ящик» фильтрации. Для непосвященных цифра 26.17 — это просто число. Для инженера — это технический приговор. При пороге отсечки в 15 баллов, значение 26.17 означает, что письмо содержит 100% признаков вредоносности. Разберем символы, которые зафиксировал мой сервер при коннекте с IP 155.212.159.92:

  • FUZZY_DENIED (10.173495): Хэш контента письма совпал с глобальной базой вредоносных шаблонов. Это значит, что Selectel хостит копию письма, которое уже заблокировано по всему миру.
  • ABUSE_SURBL (5.0): Ссылки внутри письма ведут на домены, официально помещенные в черные списки за фишинг.
  • RBL_SPAMHAUS_SBL (4.0): КРИТИЧЕСКИЙ МАРКЕР. Узел официально верифицирован глобальным регулятором Spamhaus как источник промышленного спама.
  • BAYES_SPAM (4.5): Статистический анализатор подтверждает природу трафика с абсолютной уверенностью.

Глава 4. Парадокс 25-го порта: Кто санкционировал вылет мусора?

Главная маркетинговая сказка Selectel — безопасность по умолчанию. Они заявляют, что порт 25 (SMTP) закрыт намертво для всех новых клиентов. Чтобы его открыть, клиент обязан написать тикет, пройти проверку и обосновать необходимость рассылок.

Вскрываем фундаментальную ложь: Если порты закрыты на границе сети (egress filtering), как acsmobile.ru умудряется рассылать спам с трех разных подсетей в течение месяца? Ответ может быть только в двух плоскостях:

  1. Либо процедура проверки в Selectel — это фикция, и порты открывают любому боту за 500 рублей.
  2. Либо сотрудники Selectel сознательно одобряют деятельность спам-ферм, приносящих доход компании.

Что именно написал клиент acsmobile.ru в своей анкете? Какую «легитимную» деятельность он задекларировал? И почему служба безопасности (SOC) Selectel поверила словам, но проигнорировала реальный статус IP в Spamhaus SBL?

Глава 5. Техническое опровержение лжи про «Прокси-сервер»

В ходе официального разбирательства по тикету №3880741 один из клиентов Selectel выдал версию: «Сервер используется как прокси… один из пользователей злоупотребил». Поддержка Selectel с готовностью «проглотила» это оправдание.

Как администратор с 5-летним стажем на «голом железе», я заявляю: это наглая ложь. В моих логах четко зафиксирована сигнатура HAS_PHPMAILER_SIG. PHPmailer — это серверная библиотека. Прокси-сервер (SOCKS или HTTP) — это ретранслятор L4. Он не может добавить в MIME-структуру письма заголовок PHP-библиотеки, если он просто пересылает поток. Наличие этой сигнатуры доказывает: отправка идет непосредственно с хоста Selectel. Либо служба безопасности Selectel не умеет читать заголовки, либо они сознательно покрывают клиента.

Глава 6. Монетизация хаоса: Зачем провайдеру «грязная» сеть?

Перейдем к самой болезненной части — финансовой мотивации. Почему Selectel так пассивен в отношении Abuse-репортов? Ответ может крыться в их продуктовой линейке.

Selectel активно продвигает платный сервис «Selectel Email». Это чистый SMTP-релей, гарантирующий доставляемость. Здесь возникает конфликт интересов: если обычные IP в облаке Selectel будут чистыми и с них будет идеально доходить почта, зачем клиенту платить за отдельный дорогой SMTP-сервис?

Игнорируя спамеров типа acsmobile.ru, провайдер позволяет им уничтожать репутацию всей ASN 50340. В итоге честные клиенты сталкиваются с блокировками на Gmail или Mail.ru, после чего к ним приходит менеджер с предложением купить «огнетушитель» в виде чистого SMTP-сервиса. Это стратегия создания проблем ради продажи решений.

Глава 7. Хроника тикета: 48 часов корпоративного паралича

Разберем этапы «обработки» жалобы, чтобы вы увидели уровень сервиса:

  • 14.01, 00:09: Я отправляю Abuse-report с полным аудитом и логами.
  • 14.01, 00:28: «Мы передали жалобу клиенту». (Перекладывание ответственности).
  • 15.01, 11:11: «По второму адресу не получили реакции». (Игнорирование факта SBL-статуса).
  • 15.01, 16:14: «Нам потребуется больше времени». (Бюрократическая смерть).

Пока менеджеры Selectel соблюдают вежливость с нарушителем, мой сервер продолжает тратить ресурсы на фильтрацию вашего мусора. Это не «забота о клиентах», это пособничество.

Глава 8. Репутационный налог на добросовестных админов

Бездействие Selectel наносит ущерб всем его пользователям. Почтовые гиганты ведут скоринг на уровне всей Автономной Системы. Когда объем мусора из AS50340 превышает порог, «кредит доверия» падает у всех IP Selectel. Вы платите за премиальное качество, а получаете IP в грязном сегменте, потому что ваш сосед — промышленная спам-ферма, чьей «реакции» провайдер ждет сутками.

Глава 9. Психология «Профессионального игнора»

Где инженеры Selectel? Почему со мной общаются менеджеры, которые не понимают разницы между прокси-сервером и PHPmailer-скриптом? Когда клиент предоставляет технический аудит уровня L7, отвечать ему скриптами — это профессиональное оскорбление. Я выполнил работу вашего SOC. Я нашел вредоноса. Ваша задача — нажать одну кнопку iptables. Почему это занимает двое суток?

Глава 10. Как ДОЛЖНА отрабатываться Abuse-жалоба

Инструкция для NOC Selectel (бесплатно):

  1. Верифицируйте SBL-статус IP мгновенно через API Spamhaus.
  2. Если SBL=Yes — полная блокировка порта 25 без обсуждений.
  3. Если в логах PHPmailer — изоляция хоста до полной очистки.

Любая задержка в этом процессе — это прямая помощь киберпреступности.

Глава 11. Уроки для системных администраторов

Коллеги, не верьте маркетингу о «закрытых портах». Проверяйте репутацию своих соседей по IP. Если вы видите, что ваш провайдер пассивен к абузам — эвакуируйте свои почтовые узлы. Репутация вашего IP — это единственный паспорт в мире SMTP. Не позволяйте корпорациям превращать его в мусор.

Глава 12. Глобальный контекст: Почему это важно сейчас?

В условиях, когда российский сегмент интернета находится под микроскопом мировых регуляторов, каждый спам-узел внутри РФ — это лишний повод для изоляции. Selectel, как лидер рынка, несет ответственность не только перед акционерами, но и перед всей связностью страны. Сегодня эта ответственность провалена.

Глава 13. Прямые вопросы к C-level Selectel

Я требую публичного ответа от технического директора или руководителя службы безопасности:

  • Кто конкретно открыл порт 25 аккаунту acsmobile.ru?
  • Почему вы верите в версию про прокси, когда логи кричат об обратном?
  • Когда в Selectel появится автоматическая блокировка SBL-адресов?

Заключение: Ультиматум здравого смысла

Мы завершаем это расследование. Провайдер Selectel ослеп. Мы строим свою защиту сами, но молчать о деградации отрасли мы не будем. Я жду официального комментария руководства Selectel здесь, в комментариях к этому материалу. Пришло время честного разговора о сетевой гигиене.

Приложение: Журнал позора (RAW LOGS)

[ИНЦИДЕНТ 155.212.159.92 - Spamhaus SBL]
Score: 26.17 / 15 (REJECT)
Symbols: FUZZY_DENIED, RBL_SPAMHAUS_SBL, ABUSE_SURBL, BAYES_SPAM 100%
Headers: PHPmailer 6.8.0 [acsmobile.ru]

[ИНЦИДЕНТ 89.104.116.108 - Свежая атака 14.01.2026]
Score: 22.21 / 15 (REJECT)
Source: info@acsmobile.ru
Symbols: ABUSE_SURBL (5), BAYES_SPAM (4.5), HAS_PHPMAILER_SIG

[ИНЦИДЕНТ 178.130.59.211 - "Прокси" легенда]
Score: 18.32 / 15 (REJECT)
Source: info@s1.acsmobile.ru
Symbols: FUZZY_DENIED (10.81), ABUSE_SURBL (5.0)
👁️ 24

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

четыре × один =

root@phoenix901:~# connect
[×]

Получай дайджест раз в неделю.
Без спама.

RSS Feed