paulus42 Опубликовано 14 октября, 2008 (изменено) · Жалоба В Кемерово на ул. Двужильного пришёл интернет в лице компании ТТК. Позвонил друг, пожаловался на проблемы с отправкой почты. Как выяснилось, у провайдера заблокирован исходящий 25й порт. Звонок в саппорт проблему не решил. Посоветовали воспользоваться HTTP для почты =)) На резонное замечание, что HTTP нет у нашего сервера, только развели руками и посоветовали обратиться в офис за допсоглашением чтобы открыли порт. В итоге, почту пришлось отправлять через гпрс. В приложении к абонентскому договору (http://billing.zsttk.ru/persons/ip_documents.jsp) был обнаружен интересный пункт: 2.4. Оператор связи оставляет за собой право ввести фильтрацию трафика по определенным адресам и портам протоколов TCP и UDP для защиты абонентского оборудования. Текущий список фильтруемых портов и адресов приведен по адресу, указанному в "Инструкции для Абонента". Никакой инструкции для абонента обнаружено не было ни на сайте, ни в пакете документов. Это новая мода такая? Не встречал такого ни у одного кемеровского провайдера. Было бы понятно, если бы заблокировали порт из-за вирусной атаки. Получается ведь, что всех абонентов априори считают спамерами. А если завтра еще какой порт отключат? В офис не набегаешься бумажки подписывать. Транспорт альтернативный бы хоть сделали, например, на порту 2525. Да и бред это, от троянов мало спасет, они на любой порт соединиться могут. Хотелось бы услышать комментарии уважаемых форумчан по данному вопросу. p.s. промахнулся веткой, модераторы, перенесите в общий форум плиз :) Изменено 14 октября, 2008 пользователем paulus42 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 14 октября, 2008 · Жалоба То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик. НО, то что у клиента нет возможности отказаться от блокировки при личном заявлении, это не правильно. 1% это таки нужно для работы. На Вашем сервере, через который шлете, только 25 порту на прием почты ? Сделаайте 587 с авторизацией и шлите себе откуда хотите. Ну или смените провайдера, если есть такая возможность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 14 октября, 2008 · Жалоба То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик. Интересный подход. Заодно предлагаю прикрывать 80-й порт. А то клиенты по сайтам полазят, троянов нахватаются - и давай в сетку гадить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zadrovets Опубликовано 14 октября, 2008 · Жалоба не передергивайте. 2 спамера в 5минут всю подсеть вспам листы засовывают и почта перестает отправляться у всех. Что вам ближе: объяснить тысячам пользователей что у них почта не будет работать, потомучто мы хорошие и не закрываем 25 порт или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
greywind Опубликовано 14 октября, 2008 · Жалоба Было бы понятно, если бы заблокировали порт из-за вирусной атаки.утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.Транспорт альтернативный бы хоть сделали, например, на порту 2525.в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 14 октября, 2008 · Жалоба эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом. Нет там никаких спамеров, просто их компы подцепили троян и теперь часть ботнета... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 14 октября, 2008 · Жалоба или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.) Эта возможность топикстартером упомянута не была. Если она есть, а их не устраивает - это одно. А если её нет вообще?!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 14 октября, 2008 · Жалоба У нашего местного ТТК-ДВ 25-ый порт слава Богу ещё не блочится, но вот релея почтового у них нет и не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 14 октября, 2008 · Жалоба тут была тема, nuclercat показал как таблесами правильно блочить спам. Сделал у себя, абузы приходить перестали. Спаммеров которые пробуют спасмить через внутрненний почтовик нахожу и отстреливаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paulus42 Опубликовано 14 октября, 2008 (изменено) · Жалоба утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.Транспорт альтернативный бы хоть сделали, например, на порту 2525.в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку. Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения. А про почтовый сервер в поддержке ничего не сказали. Они вообще никак не поспособствовали решить проблему, кроме как сходить в офис. Но попробуем узнать про провайдерский почтовик, сразу что-то не подумал. Понятно, что все действия не из-за вредности провайдера. Но когда его действия противоречат здравому смыслу, и, более того, из-за них возникают определенные проблемы, это уже становится грустным. Изменено 14 октября, 2008 пользователем paulus42 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
greywind Опубликовано 15 октября, 2008 · Жалоба Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.раскажите пожалуйста поподробнее раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paulus42 Опубликовано 15 октября, 2008 · Жалоба Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.раскажите пожалуйста поподробнее раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще. Анализ smtp трафика: подсчет количества единовременных или частых подключений, анализ типичных сигнатур в трафике, с последующей автоматической блокировкой - первое что на ум пришло. Либо квоту ставить на количество соединений в единицу времени. Ситуация такова, что нужно просто отправлять почту по smtp с авторизацией через корпоративный сервер, у которого нет веб-интерфейса. Открыть на нем доп. порты нет возможности. Значит теперь надо либо менять почтовый сервер, либо менять провайдера, либо открывать порт. Такая ситуация присуща обычно корпоративным сетям. Но тут домовая сеть и трафик, за который абоненты платят свои деньги. Превентивная блокировка трафика своему клиенту - это что-то новое для нас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zloZ Опубликовано 15 октября, 2008 · Жалоба Хмм, мысль разумная открыть свой релей. На нем впихнуть ограничение 10 писем на IP в час и заблочить всем 25-й порт. По заявлению, естественно, открывать подавшим порт на определенный IP (ряд IP), указанный в заявлении. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 октября, 2008 · Жалоба >тут была тема, nuclercat показал как таблесами правильно блочить спам. А повторить можно ? Актуально ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 15 октября, 2008 · Жалоба вот тут нашел тему как iptables`ами ограничивать писак Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 20 октября, 2008 · Жалоба Последний вариант (с ограничением через iptables) самый правильный при серых IP. Неплох вариант и с релеем, но в таком случае абоненту нужно настраивать почтовый клиент - сами не все умеют. Но самый простой - выдавать всем кому требуется реальники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
woddy Опубликовано 22 октября, 2008 · Жалоба а какая связь между "серостью ИП адреса" и фильтрацией СМТП трафика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 22 октября, 2008 · Жалоба а какая связь между "серостью ИП адреса" и фильтрацией СМТП трафика? а "белым" зачем фильтровать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 22 октября, 2008 · Жалоба чтоб вся подсеть в блеклист не улетела Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 22 октября, 2008 · Жалоба чтоб вся подсеть в блеклист не улетелаа разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?какую? /24 или /16? или весь диапазон данного провайдера? подскажите, кто именно так делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 22 октября, 2008 · Жалоба spamhaus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 22 октября, 2008 · Жалоба spamhausа подробнее?ответьте, пожалуйста, на остальные вопросы: чтоб вся подсеть в блеклист не улетелаа разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?какую? /24 или /16? или весь диапазон данного провайдера? подскажите, кто именно так делает? или ссылочкой поделитесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 22 октября, 2008 · Жалоба У нас работает предложенное котом решение, работает замечательно. Фактически фильтруются _только_ затроянненые абоненты, постоянно шлющие SYN на 25 порты во внешку, и из них только 1% звонит по поводу что "закрыт" 25 порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivantey Опубликовано 22 октября, 2008 · Жалоба А что кот предложил? Может просто не все видели Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 22 октября, 2008 · Жалоба ну блин все ж ясно предложил поставить анализатор трафика, порт банить по ип клиента при большом количестве соединений. В договор включить что запрещены атаки итп, что-то типа правил пользования сетью, разбанка по письменному заявлению. Хоть я и не видел что написал кот. Подсеть банят всю, оператор должен следить за своими ресурсами, в базе ху из видны пулы по принадлежности, даже если они в разных подсетях можно забанить все их разом. Из недавнего: нет коннекта к некому серверу Х, звонок провайдеру: К: Добрый день, мы ваш клиент, пакеты не идут до сервера Х, обрываясь на вашем маршрутизаторе Y, потому что хост Z, который судя по адресу принадлежит вам - не отвечает П: Да есть такое дело, адрес наш но мы сдали его в аренду некому оператору и что у него не знаем К: заверните через другой роутер П:сделали К: спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...