electro_ Опубликовано 20 декабря, 2013 · Жалоба Добрый день. Помогите вычислить спам на 25 порт Имеется сервер доступа , айпи 194.44.122.86 - общих для всех пользователей. Кто то из юзеров валит спам, и айпи постоянно в спам листах числится, гугл и яндекс постоянно просит каптчу. Как вычислить злодея средствами Ubuntu :-) /sbin/iptables -A INPUT -m -p TCP --dport 25 limit --limit 10/min -j LOG --log-prefix "СПАМ 25 ПОРТ" --log-level 7 - ставил такое, ничего не увидел iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -j DROP iptables -t filter -A INPUT -p TCP --dport 25 -i eth2 -d 0.0.0.0 -j ACCEPT это должно решить проблему ? Кто что то еще знает и посоветует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 20 декабря, 2013 · Жалоба Начинать надо с tcpdump Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 20 декабря, 2013 · Жалоба Начинать надо с tcpdump tcpdump -i eth2 -p port 25 куча всяких мейл серверов, как я увижу кто спамит ? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Adim Опубликовано 20 декабря, 2013 · Жалоба сколька абоентов?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 21 декабря, 2013 (изменено) · Жалоба Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность. Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу. По обращению конкретного абонента - открываем для него этот порт. А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п. Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем. Изменено 21 декабря, 2013 пользователем DemonS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 21 декабря, 2013 · Жалоба Это хорошо, если вас блочат за спам на 25 порт, но в списки спамеров можно попасть и не так. Всякие spamhaus и прочие блочат еще за кучу возможных вариантов (среди них долбежка по 80 порту почтовикам и даже некорректное введение капчи), которые в результате приводят к внесению в список "подозрительных ип". Очень забавляло, когда в этом списке числятся IP, на которых 25 порт намертво зафильтрован, но потом чтение "за что можно попасть в список" все расставило на свои места. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 21 декабря, 2013 · Жалоба Рекомендации: 1) закрыть серым абонентам 25 порт 2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу. 3) белым ip можно не закрывать 25 порт, но жестко реагировать на случаи спама 4) переводить серых абонентов на белые IP, сразу избавитесь от поиска СЕОшников, которые долбят тысячными запросами гугл/яндекс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemonS Опубликовано 21 декабря, 2013 · Жалоба 2) поднять свой почтовый сервер и выдавать логины-пароли (по требованию) для отправки писем наружу. Добавлю, что весьма неплохо почитать и реализовать SPF и DKIM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
electro_ Опубликовано 23 декабря, 2013 · Жалоба Что касается капчи от поисковиков - то выявление спаммеров не поможет. Тут сказывается огромное количетво поисковых запросов от ваших пользователей. Делайте нат на сеть белых ип, если есть возможность. Что до спамеров, то мы у себя тупо закрыли 25-й порт наружу. По обращению конкретного абонента - открываем для него этот порт. А если требуется для какого-то почтового агента - то проще объяснить, как перевести на работу с альтернативными портами с поддержкой ssl и т.п. Сами долго вылезали из всяких спам-листов. Гугл никак от нас почту не хотел принимать. Но вылезли. Чего и Вам желаем. Неплохое решение. Спасибо за помощь. Видимо и нам придется тупо закрыть всем абонентам 25 порт. А те кому нужно будет открыть, будем давай реальный айпи и добавлять правило на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 23 декабря, 2013 · Жалоба Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт. Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 23 декабря, 2013 (изменено) · Жалоба Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт. Если сделать 1-6 адресов и одну сессию, думаю большинство существующего спама отсеется, они используют "случайный" адрес, и клиенты смогут нормально работать. Достаточно грейлистинга и лимитов коннектов на почтовом сервере. Отправка писем через сервер только с авторизацией. Еще можно пропарсить логи почтового сервера и получить статистику. Изменено 23 декабря, 2013 пользователем vlad11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 декабря, 2013 · Жалоба Если бы кто-то взялся, по идее надо написать прозрачный прокси, который будет фиксировать адрес отправителя с определенного IP и лимитировать количество from адресов и одновременных сессий на SMTP в определенный промежуток времени. Если кто-то насточиво превышает - блокируем ему перманентно 25-й порт. А зачем, spamblock.pl давно написан и работает у меня и под FreeBSD и Убунтой. Слушает серые адреса клиентов и блочит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 25 декабря, 2013 · Жалоба во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 декабря, 2013 · Жалоба во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня Зачем в базу загонять ? spamblock.pl шлет уведомления почтой... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 25 декабря, 2013 · Жалоба во во, про spamblock. Кто использует spamblock + SQL? Не шарю в perl , хотелсь бы при занесения в IP в таблицу выполнялся UPDATE в базу. Дабы суппорт знал, что чувак спамит и у него скорее всего вирусня Зачем в базу загонять ? spamblock.pl шлет уведомления почтой... У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 декабря, 2013 · Жалоба У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 26 декабря, 2013 (изменено) · Жалоба У нас своя корп система , когда клиент позвонит, суппорт ему скажет , что он спамер и клиент может это увидеть в ЛК У вас на саппорте сидят квалифицированные специалисты, способные обьяснить что-то клиенту ? да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат Изменено 26 декабря, 2013 пользователем roysbike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 26 декабря, 2013 · Жалоба да!) У нас все пацаны и грамотные) Бабы нафиг не нужны, которые по шаблону трещат Тогда программеру системы ничего не будет стоить вставить в код spamcop.pl use DBI; $driver = "mysql"; $database2="xz"; $hostname2="x.x.x.x"; $table2="spammers"; $user2="spamblock"; $password2="*****"; $dsn2 = "DBI:$driver:database=$database2;host=$hostname2"; $dbh2 = DBI->connect($dsn2, $user2, $password2); Ну и инсертить что хотите :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...