rainbo Опубликовано 6 июля, 2011 (изменено) · Жалоба Добрый день. Возникла острая необходимость массированной борьбы со спамом в сети провайдера. Что имеем: Провайдер городского масштаба. Юзвери выходят в интернет с белыми динамическими адресами (4 диапазона адресов с 21 маской) через десяток vpn-серверов на CentOS. От впн маршруты идут на ядро Cisco 7206 и оттуда в интернет. Т.к. количество абонентов не маленькое, то и доля спама в трафике весомая. Подскажите, как можно организовать борьбу с исходящим спамом? Изменено 6 июля, 2011 пользователем rainbo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 июля, 2011 · Жалоба Зачем вам это надо? Чтобы вывести свою AS из списка UCEPROTECTL3? Если начали жаловаться абоненты, что не могут нормально организовать smtp-сервер на вашем IP, то выделите сетку(или несколько) /24 под статические ip и предлагайте услугу статический ip для жаждущих поднять smtp-сервер. В этом случае вам удасться исключить эти сети из спам-листов. Также надо будет реагировать на абузы на IP адреса из статических сетей. В гостинницах и кафешках часто просто блокируют исходящие на tcp/25, крайне эффективный способ. Многие сервисы имеют альтернативные порты для отправки с авторизацией. Например, у Билайна(по крайней мере в Нижнем) порт 25 закрыт по умолчанию, надо зайти в личный кабинет и открыть. На мой взгяд, это самое правильное решение. Кому надо - зайдут в ЛК и откроют, а домохозяйки с вирусорассадниками не пользуются почтовыми клиентами, им это просто не нужно. Вопрос лишь в том, можете ли вы реализовать установку правил фаервола в зависимости от логина. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 6 июля, 2011 (изменено) · Жалоба на NAS'ах, что-то вроде этого: iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -m recent --set --name SMTP --rsource iptables -A FORWARD -s 192.168.0.0/16 -p tcp -m tcp --dport 25 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 5 --name SMTP --rsource -j REJECT --reject-with icmp-port-unreachable очень помогает, за исключением нескольких жалоб от рассыльщиков, которые делают это осознанно ) Изменено 6 июля, 2011 пользователем bos9 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 июля, 2011 · Жалоба bos9 аналогично. Только лимит можно поболее, скажем, 10-15, и время поболее (5-15 минут). Ибо нормальный человек не будет слать письмо за письмом отдельными соединениями :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
savago Опубликовано 6 июля, 2011 · Жалоба Забраните исходящие на tcp/25 . Как сказали ,многие сервисы имеют альтернативные порты для отправки с авторизацией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 6 июля, 2011 · Жалоба У нас уже 2 года закрыты исходящие на 25 порт. За все время понадобилось только одному юрику - разрешили ему, и всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rainbo Опубликовано 7 июля, 2011 · Жалоба решили закрыть порт полностью. Посмотрим :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 7 июля, 2011 · Жалоба У нас уже года 3 как 25 порт закрыт, за всё время сервисом SMTP пользуются примерно 0.5% абонентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 9 июля, 2011 · Жалоба SpamBlock -- http://forum.nag.ru/forum/index.php?showtopic=54539 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 9 июля, 2011 · Жалоба стоит фильтр на iptables уже давненько (года 3-4) и никаких проблем со спамом нет, порт 25 открыт. до этого фильтра периодически приходили письма о попадании сети в черные списки ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 9 июля, 2011 · Жалоба Добрый день. Возникла острая необходимость массированной борьбы со спамом в сети провайдера. Что имеем: Провайдер городского масштаба. Юзвери выходят в интернет с белыми динамическими адресами (4 диапазона адресов с 21 маской) через десяток vpn-серверов на CentOS. От впн маршруты идут на ядро Cisco 7206 и оттуда в интернет. Т.к. количество абонентов не маленькое, то и доля спама в трафике весомая. Подскажите, как можно организовать борьбу с исходящим спамом? Начинаем с азов: 1) исходящий спам может идти только на 25 порт 2) домашний пользователь пользуется ЛИБО почтовым сервером провайдера (редко), ЛИБО публичными почтовыми сервисами (эх.... где те сладкие времена, когда почта шла по пол-бакса/мегабайт?) 3) ВСЕ ПОПУЛЯРНЫЕ публичные почтовые сервисы имеют ЛИБО веб-интерфейс, либо SSMTP, то есть не нуждаются в 25 порту ВЫВОД: домашнему пользователю тупо фильтруется 25 порт и это никому не мешает, а даже радует всяческие DRBL В случае, если в абонбазе появляется домашний пользователь, который замечает зафильтрованный 25 порт, ему ИСКРЕННЕ РАДУЮТСЯ и предлагают заехать в офис, подписать заявление о личной ответственности за любой траффик, исходящий с его адреса на любой другой хост по TCP/25 - с платным/бесплатным выделением статического белого адреса. 80% заинтересовавшимся этим вопросом резко перестают им интересоваться ;-) Остальные - вменяемые, им не грех и действительно выдать статический белый IP с открытым 25 портом, - раз они смогли осилить настройку почтового сервера, - осилят и вытаскивание его из блоклистов, если что. НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 9 июля, 2011 · Жалоба НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@ Вот как раз этого делать не нужно и не всегда удобно(зачастую абоенты хотят реверсное имя типа server.domain.tld). Всякие спам-копы смотрят whios на IP адрес, ищут там мейлбоксы и шлют туда жалобы. Дополнительно и туда, куда вы сказали - {postmaster,abuse}@домен_2ого_уровня_из_реверсной записи и если этот MX завернуть на себя, то это плохо, потому что абонент не узнает что на него жалуются, а узнает это только от вашей службы abuse, т.е. потеряется время. Если же его не заворачивать, то жалобы будете и вы получать и ваш абонент, все счастливы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 июля, 2011 · Жалоба 1) исходящий спам может идти только на 25 порт 2) домашний пользователь пользуется ЛИБО почтовым сервером провайдера (редко), ЛИБО публичными почтовыми сервисами (эх.... где те сладкие времена, когда почта шла по пол-бакса/мегабайт?) 3) ВСЕ ПОПУЛЯРНЫЕ публичные почтовые сервисы имеют ЛИБО веб-интерфейс, либо SSMTP, то есть не нуждаются в 25 порту ВЫВОД: домашнему пользователю тупо фильтруется 25 порт и это никому не мешает, а даже радует всяческие DRBL В случае, если в абонбазе появляется домашний пользователь, который замечает зафильтрованный 25 порт, ему ИСКРЕННЕ РАДУЮТСЯ и предлагают заехать в офис, подписать заявление о личной ответственности за любой траффик, исходящий с его адреса на любой другой хост по TCP/25 - с платным/бесплатным выделением статического белого адреса. 80% заинтересовавшимся этим вопросом резко перестают им интересоваться ;-) Остальные - вменяемые, им не грех и действительно выдать статический белый IP с открытым 25 портом, - раз они смогли осилить настройку почтового сервера, - осилят и вытаскивание его из блоклистов, если что. НЮАНС: в бэк-зону стоит вписать отдельный хостнейм для каждого такого уникума, а MX от вышестоящей зоны принудительно завернуть на себя, чтобы читать abuse@ и прочие postmaster@ 1. Эти времена уходят. Технически не сложно бота поменять на любой порт. 2. Либо ставит свой собственный, дома или на хостинге/работе. 3. Чушь. Абонент и так несёт отвественность. 4. Получить по ушам за чужую переписку не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 июля, 2011 · Жалоба 1. Эти времена уходят. Технически не сложно бота поменять на любой порт. Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят. 2. Либо ставит свой собственный, дома или на хостинге/работе. Что делать с такими абоненты уже написали выше. Домашних таких очень-очень мало. 4. Получить по ушам за чужую переписку не? имелось ввиду вот что: прописывается запись вида d.c.b.a.in-addr.arpa. IN PTR client-name.isp.tld и запись provider.tld. IN MX mail.isp.tld где mail.isp.tld это ваш почтовый сервер, на который всякие спам-копы шлют жалобы. Чужую почту при этом вы не читаете, но почему так делать не надо я описал выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 июля, 2011 · Жалоба Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят. Что мешает спамботу слать не на 25 порт? В худшем случае бот дождётся когда юзер будет свою почту чекать, ныкнет логин с паролем и начнёт слать авторизовавшить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 июля, 2011 · Жалоба Что за глупость? Если будет закрыт dst порт tcp/25, то ни одно спам-письмо вы не сможете отправить напрямую. Если абонент будет рассылать через прокси/релей, то это уже не ваша проблема, а проблема того провайдера, где этот прокси/релей поднят. Что мешает спамботу слать не на 25 порт? Очевидно то, что приём почты smtp-серверами осуществляется, вообще говоря, только на 25 порту. В худшем случае бот дождётся когда юзер будет свою почту чекать, ныкнет логин с паролем и начнёт слать авторизовавшить. Откуда сопрёт? 99,9% домашних пользователей не пользуются почтовыми клиентами. Сопрёт из браузера? Можно конечно, но гораздо сложнее, чем из аутлуков. Да если даже и сопрёт, то это будет проблема абонента и того почтового сервиса, через который будет релеится почта, т.е. к данной теме(рассылка спама напрямую) это уже не относится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 июля, 2011 · Жалоба Последнее время стало проскакивать dst порт 465 (smtps 465/tcp #smtp protocol over TLS/SSL (was ssmtp)) Понятно, что большинство там не ждут ничего, но тем, кто ждет, тем заливают. Мне даже абуза падала на клиента с заблокированным 25 портом. Пришлось и это закрыть параллельно с 25, дабы не фонило. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 июля, 2011 · Жалоба Откуда сопрёт? 99,9% домашних пользователей не пользуются почтовыми клиентами. Сопрёт из браузера? Можно конечно, но гораздо сложнее, чем из аутлуков. Да если даже и сопрёт, то это будет проблема абонента и того почтового сервиса, через который будет релеится почта, т.е. к данной теме(рассылка спама напрямую) это уже не относится В 2002 году был типа скринсейвер "вормс" на делфях писанный, показывал червячков, и отлично комуниздил все пароли с логинами из ИЕ, те которые в вебформах, типа как на майле и пр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 июля, 2011 · Жалоба Да я ж не спорю, просто в аутуке всё как на ладони - сервер, логин и пароль, а воровать данные из браузера это у каждого сайта поля по-разному могут называться. Да и смысла воровать пароль от мейл.ру не очень много, там достаточно жётские ограничения на кол-во писем в час. Вот от корпоративных почт, которые хостятся не у гугла/яндекса/прочих логины/пароли куда ценнее, через них, как правило, можно очень много разослать. Но опять же, к теме это отношения имеет сугубо косвенное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 12 июля, 2011 · Жалоба Есть профили, использующие статистику нетграфа. Например большое кол-во запросов по разным портам 25,80,138 etc. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...