[electro_]

Добрый день. Помогите вычислить спам на 25 порт

 

Имеется сервер доступа , айпи 194.44.122.86 - общих для всех пользователей.

 

Кто то из юзеров валит спам, и айпи постоянно в спам листах числится, гугл и яндекс постоянно просит каптчу.

 

 

Как вычислить злодея средствами Ubuntu :-)

 

 

 

/sbin/iptables -A INPUT -m -p TCP --dport 25 limit --limit 10/min -j LOG --log-prefix "СПАМ 25 ПОРТ" --log-level 7 - ставил такое, ничего не увидел

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -j DROP

 

 

iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -d 0.0.0.0 -j ACCEPT

 

 

это должно решить проблему ?

 

Кто что то еще знает и посоветует?

[Negator]

Начинать надо с tcpdump

[electro_]

Начинать надо с tcpdump

 

tcpdump -i eth2 -p port 25

 

 

куча всяких мейл серверов, как я увижу кто спамит ? :)

[Adim]

сколька абоентов??

[DemonS]

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

Изменено 21 декабря, 2013 пользователем DemonS

[[anp/hsw]]

Это хорошо, если вас блочат за спам на 25 порт, но в списки спамеров можно попасть и не так. Всякие spamhaus и прочие блочат еще за кучу возможных вариантов (среди них долбежка по 80 порту почтовикам и даже некорректное введение капчи), которые в результате приводят к внесению в список "подозрительных ип".

Очень забавляло, когда в этом списке числятся IP, на которых 25 порт намертво зафильтрован, но потом чтение "за что можно попасть в список" все расставило на свои места.

[vlad11]

Рекомендации:

 

1) закрыть серым абонентам 25 порт

2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу.

3) белым ip можно не закрывать 25 порт, но жестко реагировать на случаи спама

4) переводить серых абонентов на белые IP, сразу избавитесь от поиска СЕОшников, которые долбят тысячными запросами гугл/яндекс

[DemonS]

2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу.

Добавлю, что весьма неплохо почитать и реализовать SPF и DKIM.

[electro_]

Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность.

 

Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу.

По обращению конкретного абонента - открываем для него этот порт.

А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п.

 

Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем.

 

Неплохое решение. Спасибо за помощь. Видимо и нам придется тупо закрыть всем абонентам 25 порт. А те кому нужно будет открыть, будем давай реальный айпи и добавлять правило на него.

[nuclearcat]

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

[vlad11]

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать.

 

Достаточно грейлистинга и лимитов коннектов на почтовом сервере.

Отправка писем через сервер только с авторизацией.

Еще можно пропарсить логи почтового сервера и получить статистику.

Изменено 23 декабря, 2013 пользователем vlad11

[YuryD]

Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт.

 

А зачем, spamblock.pl давно написан и работает у меня и под FreeBSD и Убунтой. Слушает серые адреса клиентов и блочит

[roysbike]

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

[YuryD]

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

[roysbike]

во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня

Зачем в базу загонять ? spamblock.pl шлет уведомления почтой...

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

[YuryD]

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

[roysbike]

У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК

 

У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ?

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

Изменено 26 декабря, 2013 пользователем roysbike

[YuryD]

да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат

 

Тогда программеру системы ничего не будет стоить вставить в код spamcop.pl

use DBI;

$driver = "mysql";

$database2="xz";

$hostname2="x.x.x.x";

$table2="spammers";

$user2="spamblock";

$password2="*****";

$dsn2 = "DBI:$driver:database=$database2;host=$hostname2";

$dbh2 = DBI->connect($dsn2, $user2, $password2);

 

Ну и инсертить что хотите :)