Como sair de uma lista negra: Spamhaus e outras, passo a passo

Poucas coisas param um programa de correio tão rápido quanto uma lista negra. Em um dia as suas campanhas entram com normalidade e no seguinte voltam em bloco com um 550 que menciona uma lista de bloqueio, quase sempre o Spamhaus. A boa notícia é que sair de uma lista negra é um processo ordenado e, na maioria dos casos, gratuito e rápido. A má é que a deslistagem só dura se você arrumar o que o pôs ali; pular esse passo é a forma mais segura de voltar à lista antes de terminar o dia. Este guia percorre as duas partes: como sair e como não regressar.

O que é uma lista negra e como ela bloqueia você

Uma lista negra de correio — tecnicamente, uma DNSBL, lista de bloqueio baseada em DNS — é uma base de dados em tempo real de endereços IP ou domínios sinalizados por enviar ou facilitar spam. Funciona por consulta: quando o seu servidor se conecta a um receptor, este pergunta às listas que usa se o seu IP ou o seu domínio figuram nelas. Se a resposta é afirmativa, o receptor pode adiar, filtrar para o spam ou rejeitar de plano a mensagem, normalmente com um 550 ou um 5.7.1. Não é um castigo pessoal: é um filtro automático que decide em milissegundos se o seu correio merece confiança.

Convém separar duas coisas desde o começo. Há listas baseadas em IP, que sinalizam o endereço de onde você envia, e listas baseadas em domínio, que sinalizam o domínio que aparece na mensagem ou nos seus links. O Spamhaus mantém de ambos os tipos, e a solução muda conforme qual deles marcou você.

Spamhaus e ZEN: por que importam

O Spamhaus é uma organização sem fins lucrativos que rastreia spam e ameaças associadas, e as suas listas estão entre as mais usadas do mundo para filtrar correio entrante. Aqui há um detalhe que confunde muita gente: você nunca está «no ZEN». ZEN é uma zona combinada que agrupa as listas do Spamhaus baseadas em IP em uma só consulta, por eficiência, mas a listagem real ocorre em uma das listas que a compõem. Quando uma ferramenta diz a você «você aparece no Spamhaus ZEN», o que você tem que descobrir é qual das listas internas marcou você, porque disso depende todo o processo.

A infraestrutura é pensada para responder rápido e propagar as mudanças quase no instante: a zona se reconstrói a cada poucos minutos — da ordem de cinco para SBL e XBL, e quinze para PBL —, então tanto as inclusões quanto as remoções se refletem logo. Uma nota prática: não use a zona ZEN para filtrar o seu correio de saída, porque você poderia bloquear a si mesmo, e evite consultar a partir de resolvers públicos massivos, que o Spamhaus limita por volume.

As listas do Spamhaus, uma por uma

Cinco listas concentram quase todos os casos. Saber em qual você está diz a você quem pode deslistar você, se há autosserviço e quanto você vai demorar.

A PBL merece um esclarecimento, porque assusta sem motivo: não é uma lista de spam, e sim de política. Declara que certas faixas — residenciais e dinâmicas — não deveriam enviar correio diretamente aos servidores de destino, e a maioria dos IPs domésticos está ali por design. Essa lógica conversa diretamente com uma regra brasileira: pela Gerência de Porta 25 do CGI.br, as redes residenciais bloqueiam a saída pela porta 25 justamente porque um IP doméstico não deveria fazer o transporte entre servidores. Se você envia a partir de uma dessas IPs com um cliente de correio normal, a solução não é investigar um incidente, e sim usar autenticação SMTP e a porta 587 ou 465 em vez da 25. Só deveria pedir a saída da PBL se você opera um servidor de correio legítimo nesse endereço, num datacenter ou nuvem com a porta 25 liberada — em nuvens como a AWS ela vem bloqueada por padrão e exige uma solicitação para ser aberta.

Por que você acabou na lista

Antes de sair convém entender por que você entrou, porque a causa marca a solução. Os motivos se repetem. Uma máquina ou um script da sua rede ficou comprometido e envia spam sem que você saiba: é o terreno da XBL. O seu padrão de envio parece suspeito — picos bruscos, muitos IPs novos ao mesmo tempo, listas frias — e dispara a CSS. Você envia a partir de uma faixa residencial ou dinâmica que, por política, não deveria mandar correio direto, e cai na PBL. Ou você acumulou reclamações e bounces o bastante para o Spamhaus listar você com evidência na SBL. Identificar qual dessas histórias é a sua evita o erro mais comum: tratar um problema de reputação como se fosse de configuração, ou ao contrário.

As armadilhas de spam, a causa que você não vê chegar

Uma causa merece menção à parte porque surpreende remetentes que se creem limpos: as armadilhas de spam. São endereços que não pertencem a ninguém e que existem só para caçar quem envia sem permissão ou com listas velhas. Há de dois tipos. As armadilhas puras nunca foram de uma pessoa e denunciam que você comprou ou coletou endereços. As armadilhas recicladas foram contas reais que se abandonaram e que o provedor reconverteu após meses de inatividade; você acerta uma quando segue escrevendo a contatos que faz anos não abrem. Bater em armadilhas com certa frequência é uma via rápida para a SBL ou a CSS, e o único antídoto é a higiene: permissão explícita, dupla confirmação e retirar quem leva muito tempo sem interagir. Não há forma de pedir perdão por uma armadilha de spam; só de parar de tocá-las.

IP frente a domínio: às vezes você está nas duas

Como o Spamhaus mantém listas de IP e de domínio, é possível estar sinalizado em dobro, e convém conferir. Um IP comprometido que envia spam com o seu domínio pode acabar com o IP na XBL e o domínio na DBL ao mesmo tempo; arrumar só uma deixa a outra bloqueando. A regra é consultar sempre as duas — IP e domínio — no checker, resolver cada listagem pela sua via e não dar por certo que retirar o IP limpa também o domínio. São reputações separadas que se alimentam uma à outra, mas se gerem por separado, e deixar uma pela metade é a forma mais habitual de acreditar que você já saiu quando segue bloqueado.

Passo 0: descubra em que lista você está

Não se pode arrumar o que não se identificou, e aqui muita gente age às cegas. Consulte o seu IP e o seu domínio no Centro de Remoção do Spamhaus — o seu Reputation Checker —, que decompõe o resultado do ZEN e mostra a lista concreta que disparou o bloqueio, na ordem em que você deve resolvê-la. Para uma primeira foto, ferramentas como o MXToolbox consultam dezenas de listas ao mesmo tempo, ainda que convenha confirmar o detalhe na fonte. E não ignore o bounce: o texto de um 550 costuma citar a lista e às vezes a URL exata para solicitar a revisão; lê-lo é o primeiro diagnóstico, porque um 421 fala de algo temporário e um 550 de um bloqueio firme.

Passo 1: arrume a causa antes de pedir a saída

Este é o passo que mais se pula e o que decide se a deslistagem dura. Pedir a saída sem corrigir a origem é como tirar a bateria do detector de fumaça para que ele pare de apitar: o problema segue ali. A causa, e portanto o conserto, dependem da lista.

• PBL. Se é um IP residencial ou dinâmico, pare de enviar direto: use autenticação SMTP pela porta 587 ou 465 através do seu provedor, em linha com a Gerência de Porta 25. Se é o seu servidor legítimo, configure corretamente o DNS reverso e a autenticação, e garanta a porta 25 de saída liberada, antes de pedir a retirada.
• XBL / CBL. Algo na sua rede está comprometido e envia spam sem o seu conhecimento. Encontre e elimine a infecção — malware, um equipamento em uma botnet, um script vulnerável — antes de tudo; deslistar sem matar a causa devolve você à lista em horas.
• CSS. O seu padrão de envio parece de baixa reputação ou snowshoe. Corrija o volume, a autenticação e a higiene de listas; a CSS costuma soltar você sozinha quando o comportamento melhora.
• SBL. O Spamhaus listou você com evidência concreta. Resolva o que a motivou — uma fonte de spam, uma má configuração, uma reclamação fundamentada — porque aqui você terá que argumentar o seu caso, não só apertar um botão.
• DBL. É o seu domínio, não o seu IP: revise redirecionamentos, conteúdo comprometido ou links a sites marcados, e limpe-o antes de solicitar a revisão.

Passo 2: solicite a remoção

Com a causa resolvida, o trâmite é simples e muda conforme a lista. Para CSS, XBL e PBL há autosserviço: você entra no Centro de Remoção, insere o IP, confirma que corrigiu o problema e envia a solicitação; a mudança se propaga em minutos, e um único pedido costuma cobrir XBL e CSS quando aparecem juntas. A SBL não tem autosserviço: é gerida pelo proprietário da rede ou o ISP, que deve resolver o caso com o Spamhaus, então se o IP é seu mas a faixa é do seu provedor, você terá que se coordenar com ele. A DBL se solicita para o domínio uma vez limpo. Não é preciso cadastrar nem pagar; qualquer um que cobre de você para «desbloquear o Spamhaus» está vendendo algo que você pode fazer de graça.

Se você prefere a via passiva, também funciona: muitas listas removem sozinhas um IP que deixa de se comportar mal e mantém um envio limpo durante umas duas ou três semanas, sem necessidade de solicitação manual. É mais lento, mas evita o risco de pedir a saída antes da hora e ser listado de novo logo em seguida.

Um exemplo real: de listado a entregue

Um caso típico ajuda a ver o processo inteiro. Uma manhã, as campanhas de uma empresa começam a voltar contra vários provedores com um 550 que cita o Spamhaus. A equipe consulta o seu IP no Centro de Remoção e descobre que está na XBL, sinal de que algo na sua rede está comprometido. Em vez de apertar «remover» de imediato, revisam os registros de saída e encontram um servidor de testes esquecido, com um formulário vulnerável que um atacante usava para reenviar spam. Desligam-no, fecham o buraco e só então solicitam a retirada por autosserviço, que surte efeito em minutos. Depois não retomam o volume completo de uma vez: baixam o ritmo, enviam primeiro aos contatos mais ativos e vigiam as listas durante umas semanas. A diferença entre este desfecho e uma recaída é a ordem: primeiro a causa, depois a saída, e nunca ao contrário. A equipe que pula o primeiro passo volta à lista nessa mesma tarde, desta vez com o direito de se autodeslistar em questão.

Quanto demora e como se propaga

Uma vez aceita a retirada, a propagação é rápida porque a zona DNS se recarrega a cada poucos minutos; raramente é a espera o gargalo. O tempo real é dado pela lista e pela causa. O autosserviço de CSS, XBL e PBL é questão de minutos. A SBL, por depender de uma revisão e do proprietário da rede, vai de horas a semanas. E o caminho automático — parar de enviar mal e esperar — fica em torno de duas ou três semanas. Se após deslistar você volta a aparecer logo, não é que o processo falhe: é que a causa segue viva.

Quando o bloqueio não é uma lista pública

Nem todos os bloqueios vêm de uma DNSBL que você possa consultar. Os grandes provedores — Gmail, Microsoft, Yahoo — mantêm a sua própria reputação interna do seu IP e do seu domínio, e podem filtrar você ou rejeitar você sem que você figure em nenhuma lista pública. Se o seu correio entra bem em todos os lugares menos no Gmail, não busque no Spamhaus: olhe o estado de conformidade e a reputação no Postmaster Tools v2. Se o problema é com a Microsoft, os seus Smart Network Data Services e o seu formulário de mitigação são o caminho. No mercado brasileiro, os provedores locais como UOL, Terra e BOL também mantêm a sua própria reputação e os seus contatos de abuse, que é onde se resolve um bloqueio deles em vez de uma DNSBL pública. Essa reputação interna se ganha e se recupera igual que a das listas — autenticação, reclamações baixas, envio constante e desejado —, mas o diagnóstico vive no painel do provedor, não em um checker de terceiros. Confundir um bloqueio de provedor com uma listagem pública é perseguir a causa no lugar errado, e se perdem dias valiosos buscando em uma lista na qual você não está.

Outras listas que convém conhecer

O Spamhaus não é a única, ainda que seja a de maior impacto. O Barracuda mantém a sua própria lista de reputação, integrada nos seus produtos de segurança. O UCEPROTECT lista por faixas e é conhecido por ser agressivo, o que o torna menos determinante para a entrega real. As listas de URI como a SURBL ou a URIBL marcam domínios que aparecem em mensagens de spam, não IPs. A Microsoft gere o seu próprio bloqueio e um formulário de retirada à margem das DNSBL públicas. E convém uma nota de atualidade: a SORBS, que durante anos foi uma referência, fechou em 2024, então qualquer guia que ainda mande você ao seu formulário está desatualizado. Na prática, a maior parte do impacto sobre a sua entrega vem do Spamhaus e do filtro próprio de cada grande provedor; persiga esses dois primeiro e deixe as listas marginais para o final.

O que você não deve fazer

Sob a pressão de um bloqueio, várias reações instintivas pioram as coisas. Trocar de IP para esquivar a lista transfere o problema para um endereço sem histórico e, se a causa segue, você volta a se listar no novo. Pedir a deslistagem uma e outra vez sem corrigir a origem não só não funciona: o Spamhaus pode revogar o seu direito de se autodeslistar, e então cada saída passa a depender de uma revisão manual. Pagar a um «serviço de limpeza de listas» raras vezes aporta algo que você não possa fazer de graça. E usar a zona ZEN para filtrar o seu correio de saída pode bloquear os seus próprios envios. A regra comum a todas: trate a causa, não o sintoma.

Como evitar voltar

Sair uma vez é fácil; não voltar é o que distingue um remetente sadio. A base é a autenticação — SPF, DKIM e DMARC válidos e alinhados —, porque a maioria das listagens de baixa reputação começa onde a autenticação falha. Em cima disso, higiene de listas: retire bounces duros, suprima quem não interage e não compre nem misture bases de dados. Aqueça os IPs novos em vez de lançá-los a volume completo, mantenha um IP por propósito — não misture transacional e marketing na mesma reputação — e monitore as DNSBL de forma contínua para ficar sabendo por um alerta e não por um cliente que deixou de receber. E se você envia a partir de faixas que a PBL cobre, não envie direto: use um servidor autenticado na porta 587, em linha com a Gerência de Porta 25.

Se você opera o seu próprio parque de IPs

Para quem gere vários IPs com a sua própria infraestrutura de PowerMTA ou KumoMTA, as listas negras se gerem na mesma camada que o resto da entrega, e isso permite se adiantar. O primeiro é a segmentação: separar o tráfego por reputação e por propósito evita que uma campanha com reclamações arraste o IP que envia os recibos. O segundo, a monitoração automatizada de DNSBL sobre todo o parque, para detectar uma listagem em minutos e não em dias. O terceiro, nunca enviar direto a partir de faixas que pertencem à PBL, e aquecer cada IP novo com um plano, não aos empurrões. E quando um IP se lista por XBL, isolá-lo e rastrear o comprometimento antes de devolvê-lo à produção, em vez de deslistar e rezar. É trabalho de infraestrutura, que é justo a camada na qual trabalhamos e onde um bloqueio se converte em um incidente gerenciado em vez de em uma campanha perdida.

Convém além disso cuidar dos fundamentos por IP, que é onde um parque grande cai sem avisar. Cada IP de envio precisa de um DNS reverso (PTR) que resolva a um nome coerente e um FCrDNS válido — que a busca direta e inversa concordem —, porque sem isso muitos receptores penalizam antes mesmo de olhar o conteúdo. No Brasil isso se soma à própria Gerência de Porta 25: o ambiente tem que ter a porta 25 de saída liberada e o reverso em ordem, ou o motor entrega mal por uma causa de rede e não de conteúdo. Não misture clientes nem propósitos no mesmo IP: uma reputação compartilhada converte o problema de um no de todos, e um bloqueio isolado em um incidente geral. Vigie a sub-rede além do IP, porque algumas listas atuam por faixa e um vizinho barulhento pode arrastar você. E documente que IP envia o quê, de modo que quando chegue um alerta você saiba em segundos que fluxo afeta e a que cliente, em vez de auditar todo o parque às cegas. Esses fundamentos não tiram você de uma lista negra por si sós, mas são os que evitam acabar nelas.

Quando o bloqueio vem do seu ESP ou da nuvem compartilhada

Nem sempre o IP listado é seu para consertar. Se você envia através de um ESP — SendGrid, Mailgun, Amazon SES — ou de uma nuvem em IPs compartilhados, a listagem pode ter sido causada por um vizinho que compartilha o mesmo endereço ou a mesma faixa, e o controle de resolvê-la não está nas suas mãos. O primeiro passo é confirmar de quem é o IP: se ele pertence ao provedor, a saída passa por abrir um chamado com ele, documentar a listagem com a evidência exata e exigir que ele resolva a origem do seu lado ou solicite a retirada como dono do bloco. Quando o provedor é lento ou o problema vem de terceiros que ele não controla, a decisão sensata costuma ser mover o seu envio para um IP dedicado e limpo, com histórico próprio. Saber distinguir o que cabe a você do que cabe ao provedor evita dias batendo no formulário errado, porque pedir a saída de uma listagem que só o dono do IP pode resolver não leva a lugar nenhum.

O efeito do vizinho: listagens por faixa

Algumas listas não marcam um endereço individual, e sim uma faixa inteira. O UCEPROTECT, nos seus níveis mais altos, é o exemplo clássico: lista uma sub-rede ou todo um provedor pelo abuso de alguns dos seus ocupantes, de modo que um remetente impecável pode aparecer bloqueado por culpa de um vizinho barulhento. Por isso convém vigiar a reputação da sub-rede, não só a do seu IP, e ler com atenção que lista exata disparou o bloqueio antes de assumir que a culpa é sua. As listagens por faixa costumam pesar menos sobre a entrega real, porque os grandes provedores decidem com a sua reputação interna; quando pesam, a solução não é um formulário seu, e sim coordenar com o provedor da faixa ou mudar-se para um bloco mais limpo. Distinguir uma listagem individual de uma por faixa decide se você resolve o problema sozinho ou se ele depende de terceiros.

Documentar cada incidente

Um bloqueio resolvido às pressas e esquecido é um bloqueio que volta sem que ninguém saiba por quê. Convém deixar registro de cada incidente: em que lista exata você estava, qual era a causa concreta, o que você corrigiu para eliminá-la, que solicitação enviou e a quem, e a data em que a entrega se recuperou. Esse pequeno histórico converte um episódio de pânico em um caso documentado, e rende de duas formas. Primeiro, quando algo parecido volta a aparecer, a sua equipe resolve em minutos o que da primeira vez levou horas, porque já conhece o padrão. Segundo, se um mesmo flanco se repete — a mesma fonte comprometida, o mesmo fluxo sem autenticar —, o registro o torna visível e força a tratar a causa de fundo em vez de deslistar uma e outra vez. Documentar não tira você da lista, mas transforma sustos isolados em um problema que se entende e se fecha.

Ferramentas para ficar sabendo a tempo

O melhor momento para descobrir uma listagem é antes de a primeira campanha voltar, e isso pede vigilância, não sorte. O Centro de Remoção do Spamhaus serve para a consulta pontual, mas para um parque de IPs convém uma monitoração contínua que avise assim que um endereço aparece em qualquer lista relevante; várias plataformas de entregabilidade o oferecem, e um MTA bem instrumentado pode consultar as DNSBL de forma programada sobre todos os seus IPs. Some a isso os painéis dos próprios provedores — Postmaster Tools v2 no Google, os Smart Network Data Services na Microsoft — para a reputação que não aparece em listas públicas. Com essas duas fontes conectadas, uma listagem deixa de ser uma crise surpresa e passa a ser um alerta que você atende no mesmo dia, quando ainda é barato de resolver.

Lista de verificação rápida

Se você tem um bloqueio em mãos, esta é a ordem que funciona. Consulte o seu IP e o seu domínio no Centro de Remoção do Spamhaus e identifique a lista exata. Leia a causa que ele indica e corrija-a pela raiz — comprometimento, padrão, política ou evidência — antes de tocar em nada mais. Solicite a retirada pela via que corresponda: autosserviço para CSS, XBL e PBL, ou através do proprietário da rede para a SBL. Retome o envio com calma, não a volume completo. E deixe montada a prevenção — autenticação, higiene de listas, aquecimento e monitoração — para que o próximo alerta chegue por um painel e não por um cliente incomodado. Nessa ordem, sair de uma lista negra deixa de ser uma urgência recorrente e vira um trâmite ocasional. E se o bloqueio se repete apesar de fazer tudo bem, costuma ser sinal de uma causa de fundo — um fluxo sem autenticar, uma fonte comprometida ou uma lista sem higiene — que merece uma revisão mais profunda antes de outra deslistagem.

Fontes: documentação pública do The Spamhaus Project (listas SBL, CSS, XBL/CBL, PBL, DBL e Centro de Remoção) e guias do setor, 2025–2026. Verifique o estado e o procedimento vigentes no site oficial de cada lista antes de agir.