Проблема заключается в том, что подставные серверы UCEPROTECT, которые притворяются открытыми релеями и фиксируют попытки отправки почты через себя, автоматически включают адреса в список блокировки на основе любой сетевой активности, без проверки установки сетевого соединения. Аналогичный метод помещения в список блокировки также применяется проектом Spamhaus.
Для попадания в список блокировки достаточно отправить один пакет TCP SYN, чем могут воспользоваться злоумышленники. В частности, так как двустороннего подтверждения TCP-соединения не требуется, можно при помощи спуфинга отправить пакет с указанием поддельного IP-адреса и инициировать попадание в список блокировки любого хоста. При симуляции активности с нескольких адресов можно добиться эскалации блокировки до уровней Level 2 и Level 3, которые выполняют блокировку по подсетям и номерам автономных систем.
Список Level 3 изначально был создан для борьбы с провайдерами, поощряющими вредоносную активность клиентов и не реагирующими на жалобы (например, хостинги, специально создаваемые для размещения нелегального контента или обслуживания спамеров). Несколько дней назад UCEPROTECT изменил правила попадания в списки Level 2 и Level 3, что привело к более агрессивной фильтрации и увеличению размера списков. Например, число записей в списке Level 3 выросло с 28 до 843 автономных систем.
Для противостояния UCEPROTECT была высказана идея использования при сканировании спуфинга адресов с указанием IP из диапазона спонсоров UCEPROTECT. В итоге UCEPROTECT внёс адреса своих спонсоров и многих других невиновных в свои базы, что создало проблемы с доставкой email. В том числе в список блокировки попала CDN-сеть компании Sucuri.
Источник: http://www.opennet.ru/opennews/art.shtml?num=54579