[Galkin Maxim]

Цитата с форума одного городского интернет-провайдера :

 

smtp закрыт, внутреннего smtp-сервера в ближайшем будущем не предвидется... пользуйтесь веб-интерфейсами поставщиков услуг почты

Это вообще как? :))

[Kvark]

gmail.com, mail.ru i t.d.

[Galkin Maxim]

Kvark, я понимаю что майл.ру и гмайл еще лучше, но однако

 

корпоративных клиентов это тоже затронуло

[Kvark]

вобщето можеш не верить :) но ничто так хорошо не чистит спам как гмайл :) в гмайле настраиваеш на корпаративный майл - оутглюк на прием с гмайла и все! :) в шоколаде :)

[IvanI]

пользуйтесь веб-интерфейсами поставщиков услуг почты

пинать ногами надо такого прова

[Eugene Tsepelev]

а можно и в суд на него подать :) прямое нарушение ЗоС

[YuryD]

а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

[ram_scan]

Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)

[Eugene Tsepelev]

а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

А при чем тут телематика, нарушение ПД идет, оператор не имеет права ограничивать абонента ( правда есть несколько исключений, но тут не оно ).

[YuryD]

а можно и в суд на него подать :) прямое нарушение ЗоС

Чего ? наличие лицензии на услуги телематики вовсе не обязывает иметь свой smtp, вот если в договорах прописали, тады ой...

А при чем тут телематика, нарушение ПД идет, оператор не имеет права ограничивать абонента ( правда есть несколько исключений, но тут не оно ).

В чем ограничения ? В оригинале нигде не написано про блокировку smtp, используйте любые на здоровье...хоть свой ставьте

фразу "smtp закрыт" можно трактовать по всякому,...

[skor78]

Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)

А можно поподробнее? Чем, как, и что?

 

[Susanin]

Я лично запрещал более 5 смтп сессий с одного адреса в минуту. Шестая сессия - автобан на минуту. Поскольку робот долбится непрерывно, он сам себе постоянно бан продляет. Пользователь не пожаловался ни один, они про такое ограничение не в курсе :-)

А можно поподробнее? Чем, как, и что?

Присоединяюсь к просьбе...

[ram_scan]

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

[Galkin Maxim]

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

От брутфорсинга по ссш очень действенный метод - запуск sshd не на 22 порту, а на каком-нибудь... другом, 55000, например, если на нем никакая служба не крутится.

Но это уже оффтоп.

По теме- считаю не правильным закрытие каких-либо портов для абонентов, не предлагая взамен действующую альтернативу, а не веб-интерфейсы почтовиков.

А если у меня банк-клиент использует smtp? То в качестве альтернативы бухгалтер должен платежки в банк в папочке носить? :)

 

[ram_scan]

По теме- считаю не правильным закрытие каких-либо портов для абонентов, не предлагая взамен действующую альтернативу, а не веб-интерфейсы почтовиков.

А если у меня банк-клиент использует smtp? То в качестве альтернативы бухгалтер должен платежки в банк в папочке носить? :)

А оно не закрывается. Оно ограничивается по количеству сессий в единицу времени. При этом в договоре есть пункт оговаривающий этот вопрос. В примере моего конфига редкий пользователь ухитрится за минуту написать и отправить более 5 писем. Потому-что ему надо написать письмо с 5 разных ящиков для этого, иначе оно все уйдет в пределах одной единственной smtp сессии. Или с одного, но 5 раз написать и 5 раз отправить. На практике никого таких шустрых не было. Плюс для господ "нежелающих" всегда есть возможность воспользоваться бесплатным smtp релеем оператора.

Изменено 1 февраля, 2008 пользователем ram_scan

[boykov]

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

 

Более подробно - man iptables.

 

Кстати похожая конструкция хорошо помогает от анноящего брутфорсинга по ssh. Оно при грамотной политике не опасно, но в логах маячит и раздражает.

ого... кто-нибудь аналог под ipfw/pf видел?

[skor78]

ого... кто-нибудь аналог под ipfw/pf видел?

http://wiki.bsdportal.ru/doc:grblocksshbroteforce

[desperado]

Цитата с форума одного городского интернет-провайдера :

 

smtp закрыт, внутреннего smtp-сервера в ближайшем будущем не предвидется... пользуйтесь веб-интерфейсами поставщиков услуг почты

Это вообще как? :))

это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

[skor78]

это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

Что плохого в ограничении кол-ва сессий к конкретной услуге (тот же smtp)?

Ведь тот же самый пользователь будет "попадать на трафик", или провайдер будет попадать в blacklist.

При условии что у пользователя есть возможность отказаться от этого ограничения.

 

[desperado]

это шиза. автор сего ограничения подлежит немедленной стерилизации. они бы еще 53 порт закрыли :)

кроме немедленной смены провайдера юзерам можно предложить, разве что, юзать туннели. это вообще отличный способ обойти всякие дебилоидные ограничения, такие, как ограничение по портам, количеству tcp сессий, отсутствие прямого адреса, а так же корявый прозрачный прокси. Правда, услуга будет, скорее всего платной или очень некачественной.

Что плохого в ограничении кол-ва сессий к конкретной услуге (тот же smtp)?

Ведь тот же самый пользователь будет "попадать на трафик", или провайдер будет попадать в blacklist.

При условии что у пользователя есть возможность отказаться от этого ограничения.

в случае с физиками это может и применимо. опять таки при наличии возможности отказаться от ограничения.

Изменено 4 февраля, 2008 пользователем desperado

[Igor Diakonov]

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --set --name SMTP

iptables -A FORWARD -s h.o.s.t/16 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP -j REJECT --reject-with icmp-port-unreachable

-A SMTP -i eth1 -p tcp -m tcp --dport 25 -m state --state NEW -m hashlimit --hashlimit 100/day --hashlimit-burst 10 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT

-A SMTP -i eth1 -p tcp -m tcp --dport 25 -m state --state NEW -j DROP

 

[Cramac]

Igor Diakonov, а поясните в чем разница Вашего и ram_scan варианта?

[UglyAdmin]

На цисках такого нет :(

[sirmax]

Задумался, а на цисках - действительно, как?

или выворачивать 25 порт полиси-роутингом на фильтр...ох и криво это (

[ugluck]

policy-map spamcop

class smtp

police 64000