Jump to content
Калькуляторы

спам на 25 порт спам на 25 порт

Добрый день. Помогите вычислить спам на 25 порт

 

Имеется сервер доступа , айпи 194.44.122.86 - общих для всех пользователей.

 

Кто то из юзеров валит спам, и айпи постоянно в спам листах числится, гугл и яндекс постоянно просит каптчу.

 

 

Как вычислить злодея средствами Ubuntu :-)

 

 

 

/sbin/iptables -A INPUT -m -p TCP --dport 25 limit --limit 10/min -j LOG --log-prefix "СПАМ 25 ПОРТ" --log-level 7 - ставил такое, ничего не увидел

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -j DROP

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -d 0.0.0.0 -j ACCEPT

 

 

это должно решить проблему ?

 

Кто что то еще знает и посоветует?

Share this post


Link to post
Share on other sites

Начинать надо с tcpdump

 

tcpdump -i eth2 -p port 25

 

 

куча всяких мейл серверов, как я увижу кто спамит ? :)

Share this post


Link to post
Share on other sites

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

Edited by DemonS

Share this post


Link to post
Share on other sites

Это хорошо, если вас блочат за спам на 25 порт, но в списки спамеров можно попасть и не так. Всякие spamhaus и прочие блочат еще за кучу возможных вариантов (среди них долбежка по 80 порту почтовикам и даже некорректное введение капчи), которые в результате приводят к внесению в список "подозрительных ип".

Очень забавляло, когда в этом списке числятся IP, на которых 25 порт намертво зафильтрован, но потом чтение "за что можно попасть в список" все расставило на свои места.

Share this post


Link to post
Share on other sites

Рекомендации:

 

1) закрыть серым абонентам 25 порт

2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу.

3) белым ip можно не закрывать 25 порт, но жестко реагировать на случаи спама

4) переводить серых абонентов на белые IP, сразу избавитесь от поиска СЕОшников, которые долбят тысячными запросами гугл/яндекс

Share this post


Link to post
Share on other sites

2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу.

Добавлю, что весьма неплохо почитать и реализовать SPF и DKIM.

Share this post


Link to post
Share on other sites

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

 

Неплохое решение. Спасибо за помощь. Видимо и нам придется тупо закрыть всем абонентам 25 порт. А те кому нужно будет открыть, будем давай реальный айпи и добавлять правило на него.

Share this post


Link to post
Share on other sites

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

Share this post


Link to post
Share on other sites

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

 

Достаточно грейлистинга и лимитов коннектов на почтовом сервере.

Отправка писем через сервер только с авторизацией.

Еще можно пропарсить логи почтового сервера и получить статистику.

Edited by vlad11

Share this post


Link to post
Share on other sites

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

 

А зачем, spamblock.pl давно написан и работает у меня и под FreeBSD и Убунтой. Слушает серые адреса клиентов и блочит

Share this post


Link to post
Share on other sites

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Share this post


Link to post
Share on other sites

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

Share this post


Link to post
Share on other sites

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

Share this post


Link to post
Share on other sites

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

Share this post


Link to post
Share on other sites

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

Edited by roysbike

Share this post


Link to post
Share on other sites

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

 

Тогда программеру системы ничего не будет стоить вставить в код spamcop.pl

use DBI;

$driver = "mysql";

$database2="xz";

$hostname2="x.x.x.x";

$table2="spammers";

$user2="spamblock";

$password2="*****";

$dsn2 = "DBI:$driver:database=$database2;host=$hostname2";

$dbh2 = DBI->connect($dsn2, $user2, $password2);

 

Ну и инсертить что хотите :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this