Jump to content

спам на 25 порт

electro_
 Share

Recommended Posts

electro_

electro_

Posted
Posted

Добрый день. Помогите вычислить спам на 25 порт

 

Имеется сервер доступа , айпи 194.44.122.86 - общих для всех пользователей.

 

Кто то из юзеров валит спам, и айпи постоянно в спам листах числится, гугл и яндекс постоянно просит каптчу.

 

 

Как вычислить злодея средствами Ubuntu :-)

 

 

 

/sbin/iptables -A INPUT -m -p TCP --dport 25 limit --limit 10/min -j LOG --log-prefix "СПАМ 25 ПОРТ" --log-level 7 - ставил такое, ничего не увидел

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -j DROP

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -d 0.0.0.0 -j ACCEPT

 

 

это должно решить проблему ?

 

Кто что то еще знает и посоветует?

DemonS

DemonS

Posted
Posted (edited)

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

Edited by DemonS
[anp/hsw]

[anp/hsw]

Posted
Posted

Это хорошо, если вас блочат за спам на 25 порт, но в списки спамеров можно попасть и не так. Всякие spamhaus и прочие блочат еще за кучу возможных вариантов (среди них долбежка по 80 порту почтовикам и даже некорректное введение капчи), которые в результате приводят к внесению в список "подозрительных ип".

Очень забавляло, когда в этом списке числятся IP, на которых 25 порт намертво зафильтрован, но потом чтение "за что можно попасть в список" все расставило на свои места.

vlad11

vlad11

Posted
Posted

Рекомендации:

 

1) закрыть серым абонентам 25 порт

2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу.

3) белым ip можно не закрывать 25 порт, но жестко реагировать на случаи спама

4) переводить серых абонентов на белые IP, сразу избавитесь от поиска СЕОшников, которые долбят тысячными запросами гугл/яндекс

electro_

electro_

Posted
  • Author
Posted

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

 

Неплохое решение. Спасибо за помощь. Видимо и нам придется тупо закрыть всем абонентам 25 порт. А те кому нужно будет открыть, будем давай реальный айпи и добавлять правило на него.

nuclearcat

nuclearcat

Posted
Posted

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

vlad11

vlad11

Posted
Posted (edited)

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

 

Достаточно грейлистинга и лимитов коннектов на почтовом сервере.

Отправка писем через сервер только с авторизацией.

Еще можно пропарсить логи почтового сервера и получить статистику.

Edited by vlad11
YuryD

YuryD

Posted
Posted

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

 

А зачем, spamblock.pl давно написан и работает у меня и под FreeBSD и Убунтой. Слушает серые адреса клиентов и блочит

roysbike

roysbike

Posted
Posted

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

YuryD

YuryD

Posted
Posted

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

roysbike

roysbike

Posted
Posted

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

YuryD

YuryD

Posted
Posted

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

roysbike

roysbike

Posted
Posted (edited)

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

Edited by roysbike
YuryD

YuryD

Posted
Posted

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

 

Тогда программеру системы ничего не будет стоить вставить в код spamcop.pl

use DBI;

$driver = "mysql";

$database2="xz";

$hostname2="x.x.x.x";

$table2="spammers";

$user2="spamblock";

$password2="*****";

$dsn2 = "DBI:$driver:database=$database2;host=$hostname2";

$dbh2 = DBI->connect($dsn2, $user2, $password2);

 

Ну и инсертить что хотите :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.