Перейти к содержимому
Калькуляторы

закрыты исходящие соединения на 25й порт антиспам или бред?

В Кемерово на ул. Двужильного пришёл интернет в лице компании ТТК. Позвонил друг, пожаловался на проблемы с отправкой почты. Как выяснилось, у провайдера заблокирован исходящий 25й порт.

Звонок в саппорт проблему не решил. Посоветовали воспользоваться HTTP для почты =)) На резонное замечание, что HTTP нет у нашего сервера, только развели руками и посоветовали обратиться в офис за допсоглашением чтобы открыли порт.

В итоге, почту пришлось отправлять через гпрс.

 

В приложении к абонентскому договору (http://billing.zsttk.ru/persons/ip_documents.jsp) был обнаружен интересный пункт:

 

2.4. Оператор связи оставляет за собой право ввести фильтрацию трафика по определенным адресам и портам протоколов TCP и UDP для защиты абонентского оборудования. Текущий список фильтруемых портов и адресов приведен по адресу, указанному в "Инструкции для Абонента".

 

Никакой инструкции для абонента обнаружено не было ни на сайте, ни в пакете документов.

 

Это новая мода такая? Не встречал такого ни у одного кемеровского провайдера. Было бы понятно, если бы заблокировали порт из-за вирусной атаки. Получается ведь, что всех абонентов априори считают спамерами. А если завтра еще какой порт отключат? В офис не набегаешься бумажки подписывать. Транспорт альтернативный бы хоть сделали, например, на порту 2525. Да и бред это, от троянов мало спасет, они на любой порт соединиться могут.

 

Хотелось бы услышать комментарии уважаемых форумчан по данному вопросу.

 

 

 

p.s. промахнулся веткой, модераторы, перенесите в общий форум плиз :)

 

Изменено пользователем paulus42

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик.

 

НО, то что у клиента нет возможности отказаться от блокировки при личном заявлении, это не правильно. 1% это таки нужно для работы.

 

На Вашем сервере, через который шлете, только 25 порту на прием почты ? Сделаайте 587 с авторизацией и шлите себе откуда хотите. Ну или смените провайдера, если есть такая возможность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
То что блокируется - правильно. Ибо спам уже несколько запарил, и 99% процентам 25 порт открытый не нужен нафик.

Интересный подход. Заодно предлагаю прикрывать 80-й порт. А то клиенты по сайтам полазят, троянов нахватаются - и давай в сетку гадить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не передергивайте.

2 спамера в 5минут всю подсеть вспам листы засовывают и почта перестает отправляться у всех.

 

Что вам ближе:

объяснить тысячам пользователей что у них почта не будет работать, потомучто мы хорошие и не закрываем 25 порт

 

или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Было бы понятно, если бы заблокировали порт из-за вирусной атаки.
утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.
Транспорт альтернативный бы хоть сделали, например, на порту 2525.
в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.

Нет там никаких спамеров, просто их компы подцепили троян и теперь часть ботнета...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
или объяснить 2-м пользователем что пользоваться надо внутренним сервером провайдера. (эти 2 пользователя и есть спамеры и им не нравится что пров мешает им заниматься их грязным делом.)

Эта возможность топикстартером упомянута не была. Если она есть, а их не устраивает - это одно. А если её нет вообще?!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нашего местного ТТК-ДВ 25-ый порт слава Богу ещё не блочится, но вот релея почтового у них нет и не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тут была тема, nuclercat показал как таблесами правильно блочить спам.

Сделал у себя, абузы приходить перестали.

Спаммеров которые пробуют спасмить через внутрненний почтовик нахожу и отстреливаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
утрирую конечно, но это значит посадить лишний отдел для того чтобы мониторить сеть на предмет вирсусных атак. уверяю, если что-то делают, закрывают порты, например, это отнюдь не из-за вредности.
Транспорт альтернативный бы хоть сделали, например, на порту 2525.
в такой постановке это вопрос к человеку который заведует вашим сервером. а обычно провайдеры закрывая 25й порт предоставляют свой релей, т.е. обычно-то любой провайдер предоставляет релей для своих клиентов в любом случае... пользуйтесь им на отсылку.

Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.

 

А про почтовый сервер в поддержке ничего не сказали. Они вообще никак не поспособствовали решить проблему, кроме как сходить в офис. Но попробуем узнать про провайдерский почтовик, сразу что-то не подумал.

Понятно, что все действия не из-за вредности провайдера. Но когда его действия противоречат здравому смыслу, и, более того, из-за них возникают определенные проблемы, это уже становится грустным.

 

 

Изменено пользователем paulus42

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.
раскажите пожалуйста поподробнее

 

раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Лишний отдел для мониторинга не нужен. Типичные атаки можно отлавливать техническими средствами обнаружения.
раскажите пожалуйста поподробнее

 

раз уж согласились на чей-то релей можете юзать мейлру у них 2525 открыт или гмейл они по шифрованному работают. со стороны пользователя обойти эту ситуацию куда проще.

Анализ smtp трафика: подсчет количества единовременных или частых подключений, анализ типичных сигнатур в трафике, с последующей автоматической блокировкой - первое что на ум пришло. Либо квоту ставить на количество соединений в единицу времени.

 

Ситуация такова, что нужно просто отправлять почту по smtp с авторизацией через корпоративный сервер, у которого нет веб-интерфейса. Открыть на нем доп. порты нет возможности. Значит теперь надо либо менять почтовый сервер, либо менять провайдера, либо открывать порт. Такая ситуация присуща обычно корпоративным сетям. Но тут домовая сеть и трафик, за который абоненты платят свои деньги. Превентивная блокировка трафика своему клиенту - это что-то новое для нас.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хмм, мысль разумная открыть свой релей. На нем впихнуть ограничение 10 писем на IP в час и заблочить всем 25-й порт.

По заявлению, естественно, открывать подавшим порт на определенный IP (ряд IP), указанный в заявлении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>тут была тема, nuclercat показал как таблесами правильно блочить спам.

 

А повторить можно ? Актуально !

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Последний вариант (с ограничением через iptables) самый правильный при серых IP. Неплох вариант и с релеем, но в таком случае абоненту нужно настраивать почтовый клиент - сами не все умеют. Но самый простой - выдавать всем кому требуется реальники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какая связь между "серостью ИП адреса" и фильтрацией СМТП трафика?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а какая связь между "серостью ИП адреса" и фильтрацией СМТП трафика?

а "белым" зачем фильтровать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
чтоб вся подсеть в блеклист не улетела
а разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?

какую? /24 или /16?

или весь диапазон данного провайдера?

подскажите, кто именно так делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
spamhaus
а подробнее?

ответьте, пожалуйста, на остальные вопросы:

чтоб вся подсеть в блеклист не улетела
а разве сейчас при обнаружении спама с одного IP всю подсеть в блеклист запихивают?

какую? /24 или /16?

или весь диапазон данного провайдера?

подскажите, кто именно так делает?

или ссылочкой поделитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас работает предложенное котом решение, работает замечательно.

Фактически фильтруются _только_ затроянненые абоненты, постоянно шлющие SYN на 25 порты во внешку, и из них только 1% звонит по поводу что "закрыт" 25 порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что кот предложил? Может просто не все видели

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну блин все ж ясно предложил поставить анализатор трафика, порт банить по ип клиента при большом количестве соединений. В договор включить что запрещены атаки итп, что-то типа правил пользования сетью, разбанка по письменному заявлению. Хоть я и не видел что написал кот.

 

Подсеть банят всю, оператор должен следить за своими ресурсами, в базе ху из видны пулы по принадлежности, даже если они в разных подсетях можно забанить все их разом.

 

Из недавнего: нет коннекта к некому серверу Х, звонок провайдеру:

 

К: Добрый день, мы ваш клиент, пакеты не идут до сервера Х, обрываясь на вашем маршрутизаторе Y, потому что хост Z, который судя по адресу принадлежит вам - не отвечает

П: Да есть такое дело, адрес наш но мы сдали его в аренду некому оператору и что у него не знаем

К: заверните через другой роутер

П:сделали

К: спасибо

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас