Jump to content

Как вам такие меры борьбы со спамом из локалок?

Galkin Maxim
 Share

Recommended Posts

Galkin Maxim

Galkin Maxim

Posted
Posted

Цитата с форума одного городского интернет-провайдера :

 

smtp закрыт, внутреннего smtp-сервера в ближайшем будущем не предвидется... пользуйтесь веб-интерфейсами поставщиков услуг почты
Это вообще как? :))
Kvark

Kvark

Posted
Posted

вобщето можеш не верить :) но ничто так хорошо не чистит спам как гмайл :) в гмайле настраиваеш на корпаративный майл - оутглюк на прием с гмайла и все! :) в шоколаде :)

YuryD

YuryD

Posted
Posted
а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

ram_scan

ram_scan

Posted
Posted

Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)

Eugene Tsepelev

Eugene Tsepelev

Posted
Posted
а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

А при чем тут телематика, нарушение ПД идет, оператор не имеет права ограничивать абонента ( правда есть несколько исключений, но тут не оно ).

YuryD

YuryD

Posted
Posted
а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

А при чем тут телематика, нарушение ПД идет, оператор не имеет права ограничивать абонента ( правда есть несколько исключений, но тут не оно ).

В чем ограничения ? В оригинале нигде не написано про блокировку smtp, используйте любые на здоровье...хоть свой ставьте

фразу "smtp закрыт" можно трактовать по всякому,...

skor78

skor78

Posted
Posted
Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)
А можно поподробнее? Чем, как, и что?

 

Susanin

Susanin

Posted
Posted
Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)
А можно поподробнее? Чем, как, и что?

Присоединяюсь к просьбе...

ram_scan

ram_scan

Posted
Posted

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

Galkin Maxim

Galkin Maxim

Posted
  • Author
Posted
iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

От брутфорсинга по ссш очень действенный метод - запуск sshd не на 22 порту, а на каком-нибудь... другом, 55000, например, если на нем никакая служба не крутится.

Но это уже оффтоп.

По теме- считаю не правильным закрытие каких-либо портов для абонентов, не предлагая взамен действующую альтернативу, а не веб-интерфейсы почтовиков.

А если у меня банк-клиент использует smtp? То в качестве альтернативы бухгалтер должен платежки в банк в папочке носить? :)

 

ram_scan

ram_scan

Posted
Posted (edited)
По теме- считаю не правильным закрытие каких-либо портов для абонентов, не предлагая взамен действующую альтернативу, а не веб-интерфейсы почтовиков.

А если у меня банк-клиент использует smtp? То в качестве альтернативы бухгалтер должен платежки в банк в папочке носить? :)

А оно не закрывается. Оно ограничивается по количеству сессий в единицу времени. При этом в договоре есть пункт оговаривающий этот вопрос. В примере моего конфига редкий пользователь ухитрится за минуту написать и отправить более 5 писем. Потому-что ему надо написать письмо с 5 разных ящиков для этого, иначе оно все уйдет в пределах одной единственной smtp сессии. Или с одного, но 5 раз написать и 5 раз отправить. На практике никого таких шустрых не было. Плюс для господ "нежелающих" всегда есть возможность воспользоваться бесплатным smtp релеем оператора.

Edited by ram_scan
boykov

boykov

Posted
Posted
iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

ого... кто-нибудь аналог под ipfw/pf видел?

desperado

desperado

Posted
Posted
Цитата с форума одного городского интернет-провайдера :

 

smtp закрыт, внутреннего smtp-сервера в ближайшем будущем не предвидется... пользуйтесь веб-интерфейсами поставщиков услуг почты
Это вообще как? :))

это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

skor78

skor78

Posted
Posted
это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

Что плохого в ограничении кол-ва сессий к конкретной услуге (тот же smtp)?

Ведь тот же самый пользователь будет "попадать на трафик", или провайдер будет попадать в blacklist.

При условии что у пользователя есть возможность отказаться от этого ограничения.

 

desperado

desperado

Posted
Posted (edited)
это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

Что плохого в ограничении кол-ва сессий к конкретной услуге (тот же smtp)?

Ведь тот же самый пользователь будет "попадать на трафик", или провайдер будет попадать в blacklist.

При условии что у пользователя есть возможность отказаться от этого ограничения.

в случае с физиками это может и применимо. опять таки при наличии возможности отказаться от ограничения.

Edited by desperado
Igor Diakonov

Igor Diakonov

Posted
Posted
iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

-A SMTP -i eth1 -p tcp -m tcp --dport 25 -m state --state NEW -m hashlimit --hashlimit 100/day --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT

-A SMTP -i eth1 -p tcp -m tcp --dport 25 -m state --state NEW -j DROP

 

  • 8 months later...
  • 8 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.