Jump to content

закрыты исходящие соединения на 25й порт

paulus42
 Share

Recommended Posts

paulus42

paulus42

Posted
Posted (edited)

В Кемерово на ул. Двужильного пришёл интернет в лице компании ТТК. Позвонил друг, пожаловался на проблемы с отправкой почты. Как выяснилось, у провайдера заблокирован исходящий 25й порт.

Звонок в саппорт проблему не решил. Посоветовали воспользоваться HTTP для почты =)) На резонное замечание, что HTTP нет у нашего сервера, только развели руками и посоветовали обратиться в офис за допсоглашением чтобы открыли порт.

В итоге, почту пришлось отправлять через гпрс.

 

В приложении к абонентскому договору (http://billing.zsttk.ru/persons/ip_documents.jsp) был обнаружен интересный пункт:

 

2.4. Оператор связи оставляет за собой право ввести фильтрацию трафика по определенным адресам и портам протоколов TCP и UDP для защиты абонентского оборудования. Текущий список фильтруемых портов и адресов приведен по адресу, указанному в "Инструкции для Абонента".

 

Никакой инструкции для абонента обнаружено не было ни на сайте, ни в пакете документов.

 

Это новая мода такая? Не встречал такого ни у одного кемеровского провайдера. Было бы понятно, если бы заблокировали порт из-за вирусной атаки. Получается ведь, что всех абонентов априори считают спамерами. А если завтра еще какой порт отключат? В офис не набегаешься бумажки подписывать. Транспорт альтернативный бы хоть сделали, например, на порту 2525. Да и бред это, от троянов мало спасет, они на любой порт соединиться могут.

 

Хотелось бы услышать комментарии уважаемых форумчан по данному вопросу.

 

 

 

p.s. промахнулся веткой, модераторы, перенесите в общий форум плиз :)

 

Edited by paulus42
st_re

st_re

Posted
Posted

То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик.

 

НО, то что у клиента нет возможности отказаться от блокировки при личном заявлении, это не правильно. 1% это таки нужно для работы.

 

На Вашем сервере, через который шлете, только 25 порту на прием почты ? Сделаайте 587 с авторизацией и шлите себе откуда хотите. Ну или смените провайдера, если есть такая возможность.

-Ars-

-Ars-

Posted
Posted
То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик.

Интересный подход. Заодно предлагаю прикрывать 80-й порт. А то клиенты по сайтам полазят, троянов нахватаются - и давай в сетку гадить.

zadrovets

zadrovets

Posted
Posted

не передергивайте.

2 спамера в 5минут всю подсеть вспам листы засовывают и почта перестает отправляться у всех.

 

Что вам ближе:

объяснить тысячам пользователей что у них почта не будет работать, потомучто мы хорошие и не закрываем 25 порт

 

или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.)

 

 

greywind

greywind

Posted
Posted
Было бы понятно, если бы заблокировали порт из-за вирусной атаки.
утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.
Транспорт альтернативный бы хоть сделали, например, на порту 2525.
в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку.
UglyAdmin

UglyAdmin

Posted
Posted

эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.

Нет там никаких спамеров, просто их компы подцепили троян и теперь часть ботнета...

-Ars-

-Ars-

Posted
Posted
или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.)

Эта возможность топикстартером упомянута не была. Если она есть, а их не устраивает - это одно. А если её нет вообще?!?

dr Tr0jan

dr Tr0jan

Posted
Posted

У нашего местного ТТК-ДВ 25-ый порт слава Богу ещё не блочится, но вот релея почтового у них нет и не будет.

sirmax

sirmax

Posted
Posted

тут была тема, nuclercat показал как таблесами правильно блочить спам.

Сделал у себя, абузы приходить перестали.

Спаммеров которые пробуют спасмить через внутрненний почтовик нахожу и отстреливаю.

paulus42

paulus42

Posted
  • Author
Posted (edited)
утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.
Транспорт альтернативный бы хоть сделали, например, на порту 2525.
в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку.

Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.

 

А про почтовый сервер в поддержке ничего не сказали. Они вообще никак не поспособствовали решить проблему, кроме как сходить в офис. Но попробуем узнать про провайдерский почтовик, сразу что-то не подумал.

Понятно, что все действия не из-за вредности провайдера. Но когда его действия противоречат здравому смыслу, и, более того, из-за них возникают определенные проблемы, это уже становится грустным.

 

 

Edited by paulus42
greywind

greywind

Posted
Posted
Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.
раскажите пожалуйста поподробнее

 

раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще.

paulus42

paulus42

Posted
  • Author
Posted
Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.
раскажите пожалуйста поподробнее

 

раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще.

Анализ smtp трафика: подсчет количества единовременных или частых подключений, анализ типичных сигнатур в трафике, с последующей автоматической блокировкой - первое что на ум пришло. Либо квоту ставить на количество соединений в единицу времени.

 

Ситуация такова, что нужно просто отправлять почту по smtp с авторизацией через корпоративный сервер, у которого нет веб-интерфейса. Открыть на нем доп. порты нет возможности. Значит теперь надо либо менять почтовый сервер, либо менять провайдера, либо открывать порт. Такая ситуация присуща обычно корпоративным сетям. Но тут домовая сеть и трафик, за который абоненты платят свои деньги. Превентивная блокировка трафика своему клиенту - это что-то новое для нас.

 

zloZ

zloZ

Posted
Posted

Хмм, мысль разумная открыть свой релей. На нем впихнуть ограничение 10 писем на IP в час и заблочить всем 25-й порт.

По заявлению, естественно, открывать подавшим порт на определенный IP (ряд IP), указанный в заявлении.

vadimus

vadimus

Posted
Posted

Последний вариант (с ограничением через iptables) самый правильный при серых IP. Неплох вариант и с релеем, но в таком случае абоненту нужно настраивать почтовый клиент - сами не все умеют. Но самый простой - выдавать всем кому требуется реальники.

kapa

kapa

Posted
Posted
чтоб вся подсеть в блеклист не улетела
а разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?

какую? /24 или /16?

или весь диапазон данного провайдера?

подскажите, кто именно так делает?

kapa

kapa

Posted
Posted
spamhaus
а подробнее?

ответьте, пожалуйста, на остальные вопросы:

чтоб вся подсеть в блеклист не улетела
а разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?

какую? /24 или /16?

или весь диапазон данного провайдера?

подскажите, кто именно так делает?

или ссылочкой поделитесь?
disappointed

disappointed

Posted
Posted

У нас работает предложенное котом решение, работает замечательно.

Фактически фильтруются _только_ затроянненые абоненты, постоянно шлющие SYN на 25 порты во внешку, и из них только 1% звонит по поводу что "закрыт" 25 порт.

ilia_2s

ilia_2s

Posted
Posted

ну блин все ж ясно предложил поставить анализатор трафика, порт банить по ип клиента при большом количестве соединений. В договор включить что запрещены атаки итп, что-то типа правил пользования сетью, разбанка по письменному заявлению. Хоть я и не видел что написал кот.

 

Подсеть банят всю, оператор должен следить за своими ресурсами, в базе ху из видны пулы по принадлежности, даже если они в разных подсетях можно забанить все их разом.

 

Из недавнего: нет коннекта к некому серверу Х, звонок провайдеру:

 

К: Добрый день, мы ваш клиент, пакеты не идут до сервера Х, обрываясь на вашем маршрутизаторе Y, потому что хост Z, который судя по адресу принадлежит вам - не отвечает

П: Да есть такое дело, адрес наш но мы сдали его в аренду некому оператору и что у него не знаем

К: заверните через другой роутер

П:сделали

К: спасибо

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.