борьба со спамом на выходе в инет

[rainbo]

Добрый день. Возникла острая необходимость массированной борьбы со спамом в сети провайдера.

Что имеем:

Провайдер городского масштаба. Юзвери выходят в интернет с белыми динамическими адресами (4 диапазона адресов с 21 маской) через десяток vpn-серверов на CentOS. От впн маршруты идут на ядро Cisco 7206 и оттуда в интернет.

Т.к. количество абонентов не маленькое, то и доля спама в трафике весомая.

 

Подскажите, как можно организовать борьбу с исходящим спамом?

Edited July 6, 2011 by rainbo

[s.lobanov]

Зачем вам это надо? Чтобы вывести свою AS из списка UCEPROTECTL3?

Если начали жаловаться абоненты, что не могут нормально организовать smtp-сервер на вашем IP, то выделите сетку(или несколько) /24 под статические ip и предлагайте услугу статический ip для жаждущих поднять smtp-сервер. В этом случае вам удасться исключить эти сети из спам-листов. Также надо будет реагировать на абузы на IP адреса из статических сетей.

 

В гостинницах и кафешках часто просто блокируют исходящие на tcp/25, крайне эффективный способ. Многие сервисы имеют альтернативные порты для отправки с авторизацией.

 

Например, у Билайна(по крайней мере в Нижнем) порт 25 закрыт по умолчанию, надо зайти в личный кабинет и открыть. На мой взгяд, это самое правильное решение. Кому надо - зайдут в ЛК и откроют, а домохозяйки с вирусорассадниками не пользуются почтовыми клиентами, им это просто не нужно.

Вопрос лишь в том, можете ли вы реализовать установку правил фаервола в зависимости от логина.

[bos9]

на NAS'ах, что-то вроде этого:

 

iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -m recent --set --name SMTP --rsource

iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP --rsource -j REJECT --reject-with icmp-port-unreachable

 

очень помогает, за исключением нескольких жалоб от рассыльщиков, которые делают это осознанно )

Edited July 6, 2011 by bos9

[NiTr0]

bos9 аналогично. Только лимит можно поболее, скажем, 10-15, и время поболее (5-15 минут). Ибо нормальный человек не будет слать письмо за письмом отдельными соединениями :)

[savago]

Забраните исходящие на tcp/25 . Как сказали ,многие сервисы имеют альтернативные порты для отправки с авторизацией.

[Abram]

У нас уже 2 года закрыты исходящие на 25 порт.

За все время понадобилось только одному юрику - разрешили ему, и всё.

[rainbo]

решили закрыть порт полностью. Посмотрим :)

[terrible]

У нас уже года 3 как 25 порт закрыт, за всё время сервисом SMTP пользуются примерно 0.5% абонентов.

[Ilya Evseev]

SpamBlock -- http://forum.nag.ru/forum/index.php?showtopic=54539

[BiWiS]

стоит фильтр на iptables уже давненько (года 3-4) и никаких проблем со спамом нет, порт 25 открыт. до этого фильтра периодически приходили письма о попадании сети в черные списки ;)

[vIv]

Добрый день. Возникла острая необходимость массированной борьбы со спамом в сети провайдера.

Что имеем:

Провайдер городского масштаба. Юзвери выходят в интернет с белыми динамическими адресами (4 диапазона адресов с 21 маской) через десяток vpn-серверов на CentOS. От впн маршруты идут на ядро Cisco 7206 и оттуда в интернет.

Т.к. количество абонентов не маленькое, то и доля спама в трафике весомая.

 

Подскажите, как можно организовать борьбу с исходящим спамом?

Начинаем с азов:

1) исходящий спам может идти только на 25 порт

2) домашний пользователь пользуется ЛИБО почтовым сервером провайдера (редко), ЛИБО публичными почтовыми сервисами (эх.... где те сладкие времена, когда почта шла по пол-бакса/мегабайт?)

3) ВСЕ ПОПУЛЯРНЫЕ публичные почтовые сервисы имеют ЛИБО веб-интерфейс, либо SSMTP, то есть не нуждаются в 25 порту

ВЫВОД: домашнему пользователю тупо фильтруется 25 порт и это никому не мешает, а даже радует всяческие DRBL

 

В случае, если в абонбазе появляется домашний пользователь, который замечает зафильтрованный 25 порт, ему ИСКРЕННЕ РАДУЮТСЯ и предлагают заехать в офис, подписать заявление о личной ответственности за любой траффик, исходящий с его адреса на любой другой хост по TCP/25 - с платным/бесплатным выделением статического белого адреса. 80% заинтересовавшимся этим вопросом резко перестают им интересоваться ;-) Остальные - вменяемые, им не грех и действительно выдать статический белый IP с открытым 25 портом, - раз они смогли осилить настройку почтового сервера, - осилят и вытаскивание его из блоклистов, если что.

 

НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@

[s.lobanov]

НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@

 

Вот как раз этого делать не нужно и не всегда удобно(зачастую абоенты хотят реверсное имя типа server.domain.tld). Всякие спам-копы смотрят whios на IP адрес, ищут там мейлбоксы и шлют туда жалобы. Дополнительно и туда, куда вы сказали - {postmaster,abuse}@домен_2ого_уровня_из_реверсной записи и если этот MX завернуть на себя, то это плохо, потому что абонент не узнает что на него жалуются, а узнает это только от вашей службы abuse, т.е. потеряется время. Если же его не заворачивать, то жалобы будете и вы получать и ваш абонент, все счастливы.

[Ivan_83]

1) исходящий спам может идти только на 25 порт 2) домашний пользователь пользуется ЛИБО почтовым сервером провайдера (редко), ЛИБО публичными почтовыми сервисами (эх.... где те сладкие времена, когда почта шла по пол-бакса/мегабайт?) 3) ВСЕ ПОПУЛЯРНЫЕ публичные почтовые сервисы имеют ЛИБО веб-интерфейс, либо SSMTP, то есть не нуждаются в 25 порту ВЫВОД: домашнему пользователю тупо фильтруется 25 порт и это никому не мешает, а даже радует всяческие DRBL В случае, если в абонбазе появляется домашний пользователь, который замечает зафильтрованный 25 порт, ему ИСКРЕННЕ РАДУЮТСЯ и предлагают заехать в офис, подписать заявление о личной ответственности за любой траффик, исходящий с его адреса на любой другой хост по TCP/25 - с платным/бесплатным выделением статического белого адреса. 80% заинтересовавшимся этим вопросом резко перестают им интересоваться ;-) Остальные - вменяемые, им не грех и действительно выдать статический белый IP с открытым 25 портом, - раз они смогли осилить настройку почтового сервера, - осилят и вытаскивание его из блоклистов, если что. НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@

 

1. Эти времена уходят. Технически не сложно бота поменять на любой порт.

 

2. Либо ставит свой собственный, дома или на хостинге/работе.

 

3. Чушь. Абонент и так несёт отвественность.

 

4. Получить по ушам за чужую переписку не?

 

 

[s.lobanov]

1. Эти времена уходят. Технически не сложно бота поменять на любой порт.

 

Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят.

 

2. Либо ставит свой собственный, дома или на хостинге/работе.

Что делать с такими абоненты уже написали выше. Домашних таких очень-очень мало.

 

4. Получить по ушам за чужую переписку не?

имелось ввиду вот что:

прописывается запись вида

d.c.b.a.in-addr.arpa. IN PTR client-name.isp.tld

и запись

provider.tld. IN MX mail.isp.tld

 

где mail.isp.tld это ваш почтовый сервер, на который всякие спам-копы шлют жалобы. Чужую почту при этом вы не читаете, но почему так делать не надо я описал выше.

[Ivan_83]

Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят.

 

Что мешает спамботу слать не на 25 порт?

 

В худшем случае бот дождётся когда юзер будет свою почту чекать, ныкнет логин с паролем и начнёт слать авторизовавшить.

 

 

[s.lobanov]

Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят.

 

Что мешает спамботу слать не на 25 порт?

 

Очевидно то, что приём почты smtp-серверами осуществляется, вообще говоря, только на 25 порту.

 

В худшем случае бот дождётся когда юзер будет свою почту чекать, ныкнет логин с паролем и начнёт слать авторизовавшить.

 

Откуда сопрёт? 99,9% домашних пользователей не пользуются почтовыми клиентами. Сопрёт из браузера? Можно конечно, но гораздо сложнее, чем из аутлуков. Да если даже и сопрёт, то это будет проблема абонента и того почтового сервиса, через который будет релеится почта, т.е. к данной теме(рассылка спама напрямую) это уже не относится

[st_re]

Последнее время стало проскакивать dst порт 465

(smtps 465/tcp #smtp protocol over TLS/SSL (was ssmtp))

 

 

Понятно, что большинство там не ждут ничего, но тем, кто ждет, тем заливают. Мне даже абуза падала на клиента с заблокированным 25 портом. Пришлось и это закрыть параллельно с 25, дабы не фонило.

[Ivan_83]

Откуда сопрёт? 99,9% домашних пользователей не пользуются почтовыми клиентами. Сопрёт из браузера? Можно конечно, но гораздо сложнее, чем из аутлуков. Да если даже и сопрёт, то это будет проблема абонента и того почтового сервиса, через который будет релеится почта, т.е. к данной теме(рассылка спама напрямую) это уже не относится

 

В 2002 году был типа скринсейвер "вормс" на делфях писанный, показывал червячков, и отлично комуниздил все пароли с логинами из ИЕ, те которые в вебформах, типа как на майле и пр.

 

 

[s.lobanov]

Да я ж не спорю, просто в аутуке всё как на ладони - сервер, логин и пароль, а воровать данные из браузера это у каждого сайта поля по-разному могут называться. Да и смысла воровать пароль от мейл.ру не очень много, там достаточно жётские ограничения на кол-во писем в час. Вот от корпоративных почт, которые хостятся не у гугла/яндекса/прочих логины/пароли куда ценнее, через них, как правило, можно очень много разослать. Но опять же, к теме это отношения имеет сугубо косвенное.

[vlad11]

Есть профили, использующие статистику нетграфа.

Например большое кол-во запросов по разным портам 25,80,138 etc.