Спамеры мы! Оказывается!

[damir_madaga]

В общем в одной из конторок в которой стоит связка Exim + Dovecot перестала ходить почта, проверил оказалась закрыт 25 порт! Связался с провайдером в итоге

Код: Выделить всё

Сообщение по заявке №806 : Блокировка SMTP [ххх.ххх.ххх.ххх]
Описание

Выборка по IP-адресам и хостам за 3 минуты с момента начала мониторинга:

Список хостов за 3 минуты:
155.188.248.66       tristero.nationwide.com
134.184.129.110      mxin.vub.ac.be     
64.18.4.11           s5a2.psmtp.com     
209.82.0.218         aleph.ideepro.com  
199.228.142.103      plgmler3.imr.gm.com
195.129.12.230       dfallback0.dtm.ops.eu.uu.net
125.215.135.98       mail.jazzing.com   
62.84.132.12         mxa.sbone.cz       
69.38.115.5          MAIL.jblco.com     
217.174.207.108      indom4.indomco.com 
148.223.103.71       customer-148-223-103-71.uninet-ide.com.mx
193.110.191.18       smtp2.axa.be       
167.230.20.227       usmail3.aig.com    
194.25.242.123       mforward.dtag.de   
116.50.57.190        cluster-k.mailcontrol.com
203.144.173.177      irp-in3.truemail.co.th
193.251.214.113      smtp1.laposte.net  
194.158.37.195       mail2.maltanet.net 
128.121.85.2         mail-fwd.mx.g14.rapidsite.net
203.144.210.98       firewall.qsncc.co.th
211.193.131.166      mail.hunga.com     
216.14.192.231       mail3.fujitsu.com.au
202.234.163.13       mail.renesas.com   
203.150.235.136      iris.value.co.th   
212.27.42.56         mx17-g26.free.fr   
207.233.128.222      digspool01.centrivity.net
209.191.118.103      mta-v8.mail.vip.mud.yahoo.com
216.54.43.180        ip-216-54-43-180.coxfiber.net
216.93.159.11        silver.champlain.edu
152.91.3.136         facs-in-136.sge.net
38.99.136.197        query failed: NXDOMAIN
203.50.2.186         lnip-postoffice.telstra.net
32.97.110.150        e32.co.us.ibm.com  
142.33.220.200       cancer.sd35.bc.ca  
213.17.128.69        mx2.argostranslations.com
65.214.243.13        query failed: NXDOMAIN
64.14.56.246         ext-nj2ut-vip.online-age.net
206.55.74.5          cmx0.sol.net       
4.79.181.18          mta1-f.biz.level3.mail.vip.mud.yahoo.com
212.36.181.98        relay1.onetel.co.uk
216.163.188.58       eforwardct.name-services.com
195.121.6.51         mailin.planet.nl   
212.247.156.1        mail.tele2.se      
160.39.96.49         mailhub4.barnard.columbia.edu
193.190.255.212      mail2.dofi.fgov.be 
200.87.100.20        mail.entelnet.bo   
82.194.66.215        relay10.dns-servicios.com
211.49.224.218       query failed: NXDOMAIN
208.189.241.103      mail.amaisd.org    
12.129.156.44        mx2.globalintellisystems.com
203.55.210.65        query failed: NXDOMAIN
204.17.28.37         email-1.phoenix.edu
82.223.191.131       smtp-01.servidoresdns.net
202.248.73.54        mx02.ricoh.co.jp   
198.60.22.17         etrn.xmission.com  
85.158.139.194       mx6.tm1.org        
200.155.10.18        pch.com.br         
200.155.10.18        empregos.com.br    
200.155.10.18        performance.com.br 
210.0.255.170        mrtg02.hgc.com.hk  
159.134.198.135      mail1.eircom.net   
64.89.16.4           mail.servergod.com 
216.235.75.103       mail-in-02a.netsonic.net
66.40.66.242         mx1.supremebox.com 
212.147.136.150      mail-in1.mxsweep.com
209.85.201.114       query failed: NXDOMAIN
64.224.219.122       inbound.registeredsite.com
70.61.177.123        mail.paros-partners.com
216.157.193.12       mail.agatesoftware.com
207.217.125.16       mx00-dom.earthlink.net
161.58.58.245        bradfor.securesites.net
213.165.64.100       mx0.gmx.de         
213.165.64.100       mx0.gmx.net        
212.0.107.123        212.0.107.123.static.es.colt.net
195.245.243.140      smtp.khs.com       
202.225.89.133       bgmgate1.biglobe.ne.jp
202.225.89.133       bgmgate2.biglobe.ne.jp
210.169.176.80       mx.t.vodafone.ne.jp
208.67.177.42        mailgw1.ppt.questsys.com
68.196.100.28        ool-44c4641c.dyn.optonline.net
194.170.246.7        eksmtpgw-1.emirates.com
213.243.1.61         query failed: NXDOMAIN
217.69.20.190        cluster-d.mailcontrol.com
17.148.20.69         smtp-mx6.mac.com   
150.156.16.22        mx2.sunyit.edu     
150.156.16.22        directory.sunyit.edu
150.156.16.22        directory2.sunyit.edu
194.228.41.114       relay.iol.cz       
202.190.202.180      gate6.dnshostmaster.net
158.57.45.246        m2.coned.com       
207.212.197.55       207-212-197-55.delicato.com
202.27.216.34        bo.nznet.gen.nz    
130.75.2.109         mrelay9.uni-hannover.de
198.65.30.69         keid12.securesites.net
209.172.41.129       mace.privatedns.com
12.152.199.24        www.wrightmed.com   
12.152.199.24        www.wrightmed.net   
12.152.199.24        www.wrightmed.org   
12.17.38.79          mail.beconet.com   
206.40.112.233       mail1.schencksolutions.com
66.235.212.157       st57.startlogic.com
222.146.40.200       mfgw101.ocn.ad.jp  
61.66.230.180        mx1.pmo.com.tw     
212.45.32.238        mx04.solcon.nl     
70.98.187.198        mail.performair.com
70.98.187.198        performair.com     
82.198.220.7         mailin.bit.bremerhaven.de
64.221.206.163       64.221.206.163.ptr.us.xo.net
216.173.174.202      dc1.internal.owentitle.com
62.4.21.248          ace-248.hst.nerim.net
195.70.130.77        vmail.nextra.cz    
211.224.108.11       query failed: NXDOMAIN
71.41.119.66         rrcs-71-41-119-66.se.biz.rr.com
58.93.255.223        mx.plala.or.jp     
210.18.118.4         210.18.118.4.sify.net
170.232.6.119        nodcmsltw2.trinity-health.org
85.158.100.74        mail1.oyakbank.com.tr
64.58.243.130        mx.oxforddevelopment.com
198.185.2.68         mx2.business.mindspring.com
66.115.217.133       mail.keloland.com  
68.123.231.94        adsl-68-123-231-94.dsl.irvnca.pacbell.net
193.212.240.190      scan.telenor.net   
194.2.0.80           mx.fr.oleane.com   
129.176.212.12       mail1.mayo.edu     
209.235.147.40       mx3c35.carrierzone.com

Список IP-адресов с которыми пытались установить SMTP-соединение:
Feb 28 12:05:22 155.188.248.66
Feb 28 12:05:23 134.184.129.110
Feb 28 12:05:23 64.18.4.11
Feb 28 12:05:25 209.82.0.218
Feb 28 12:05:27 199.228.142.103
Feb 28 12:05:30 195.129.12.230
Feb 28 12:05:30 125.215.135.98
Feb 28 12:05:32 62.84.132.12
Feb 28 12:05:32 69.38.115.5
Feb 28 12:05:35 217.174.207.108
Feb 28 12:05:35 148.223.103.71
Feb 28 12:05:37 193.110.191.18
Feb 28 12:05:40 167.230.20.227
Feb 28 12:05:40 194.25.242.123
Feb 28 12:05:43 116.50.57.190
Feb 28 12:05:43 203.144.173.177
Feb 28 12:05:45 193.251.214.113
Feb 28 12:05:45 194.25.242.123
Feb 28 12:05:47 194.158.37.195
Feb 28 12:05:47 128.121.85.2
Feb 28 12:05:50 203.144.210.98
Feb 28 12:05:50 211.193.131.166
Feb 28 12:05:52 216.14.192.231
Feb 28 12:05:52 202.234.163.13
Feb 28 12:05:55 64.18.4.11
Feb 28 12:05:55 203.150.235.136
Feb 28 12:05:57 212.27.42.56
Feb 28 12:05:57 202.234.163.13
Feb 28 12:05:59 207.233.128.222
Feb 28 12:05:59 209.191.118.103
Feb 28 12:06:01 211.193.131.166
Feb 28 12:06:01 216.54.43.180
Feb 28 12:06:04 216.93.159.11
Feb 28 12:06:04 152.91.3.136
Feb 28 12:06:07 203.144.210.98
Feb 28 12:06:08 38.99.136.197
Feb 28 12:06:09 203.50.2.186
Feb 28 12:06:12 32.97.110.150
Feb 28 12:06:13 142.33.220.200
Feb 28 12:06:14 213.17.128.69
Feb 28 12:06:17 203.50.2.186
Feb 28 12:06:24 65.214.243.13
Feb 28 12:06:46 64.14.56.246
Feb 28 12:06:46 206.55.74.5
Feb 28 12:06:46 4.79.181.18
Feb 28 12:06:46 212.36.181.98
Feb 28 12:06:46 216.163.188.58
Feb 28 12:06:46 195.121.6.51
Feb 28 12:06:48 212.247.156.1
Feb 28 12:06:48 212.36.181.98
Feb 28 12:06:56 160.39.96.49
Feb 28 12:06:56 216.163.188.58
Feb 28 12:06:56 212.247.156.1
Feb 28 12:06:56 193.190.255.212
Feb 28 12:07:00 216.163.188.58
Feb 28 12:07:00 200.87.100.20
Feb 28 12:07:00 4.79.181.18
Feb 28 12:07:02 200.87.100.20
Feb 28 12:07:02 82.194.66.215
Feb 28 12:07:05 211.49.224.218
Feb 28 12:07:05 208.189.241.103
Feb 28 12:07:08 12.129.156.44
Feb 28 12:07:08 203.55.210.65
Feb 28 12:07:09 204.17.28.37
Feb 28 12:07:10 82.223.191.131
Feb 28 12:07:12 202.248.73.54
Feb 28 12:07:13 198.60.22.17
Feb 28 12:07:13 85.158.139.194
Feb 28 12:07:15 200.155.10.18
Feb 28 12:07:16 210.0.255.170
Feb 28 12:07:16 216.163.188.58
Feb 28 12:07:18 159.134.198.135
Feb 28 12:07:18 200.155.10.18
Feb 28 12:07:20 64.89.16.4
Feb 28 12:07:20 216.235.75.103
Feb 28 12:07:22 66.40.66.242
Feb 28 12:07:24 212.147.136.150
Feb 28 12:07:24 209.85.201.114
Feb 28 12:07:27 199.228.142.103
Feb 28 12:07:27 128.121.85.2
Feb 28 12:07:29 64.224.219.122
Feb 28 12:07:29 70.61.177.123
Feb 28 12:07:32 4.79.181.18
Feb 28 12:07:32 216.157.193.12
Feb 28 12:07:33 207.217.125.16
Feb 28 12:07:33 161.58.58.245
Feb 28 12:07:35 213.165.64.100
Feb 28 12:07:35 212.0.107.123
Feb 28 12:07:37 195.245.243.140
Feb 28 12:07:40 128.121.85.2
Feb 28 12:07:42 202.225.89.133
Feb 28 12:07:43 202.225.89.133
Feb 28 12:07:43 210.169.176.80
Feb 28 12:07:45 208.67.177.42
Feb 28 12:07:46 68.196.100.28
Feb 28 12:07:47 194.170.246.7
Feb 28 12:07:47 213.243.1.61
Feb 28 12:07:49 217.69.20.190
Feb 28 12:07:52 17.148.20.69
Feb 28 12:07:53 64.18.4.11
Feb 28 12:07:53 150.156.16.22
Feb 28 12:07:55 194.228.41.114
Feb 28 12:07:55 202.190.202.180
Feb 28 12:07:57 158.57.45.246
Feb 28 12:07:57 207.212.197.55
Feb 28 12:07:59 202.27.216.34
Feb 28 12:07:59 130.75.2.109
Feb 28 12:08:02 198.65.30.69
Feb 28 12:08:03 209.172.41.129
Feb 28 12:08:04 194.25.242.123
Feb 28 12:08:06 12.152.199.24
Feb 28 12:08:06 12.17.38.79
Feb 28 12:08:07 206.40.112.233
Feb 28 12:08:07 66.235.212.157
Feb 28 12:08:09 222.146.40.200
Feb 28 12:08:10 61.66.230.180
Feb 28 12:08:11 194.25.242.123
Feb 28 12:08:11 212.45.32.238
Feb 28 12:08:14 64.14.56.246
Feb 28 12:08:16 70.98.187.198
Feb 28 12:08:16 82.198.220.7
Feb 28 12:08:18 64.221.206.163
Feb 28 12:08:18 216.173.174.202
Feb 28 12:08:20 62.4.21.248
Feb 28 12:08:20 195.70.130.77
Feb 28 12:08:22 194.25.242.123
Feb 28 12:08:23 211.224.108.11
Feb 28 12:08:25 71.41.119.66
Feb 28 12:08:27 58.93.255.223
Feb 28 12:08:28 210.18.118.4
Feb 28 12:08:28 170.232.6.119
Feb 28 12:08:30 194.25.242.123
Feb 28 12:08:30 85.158.100.74
Feb 28 12:08:30 64.58.243.130
Feb 28 12:08:30 194.25.242.123
Feb 28 12:08:30 198.185.2.68
Feb 28 12:08:30 66.115.217.133
Feb 28 12:08:30 68.123.231.94
Feb 28 12:08:30 193.212.240.190
Feb 28 12:08:30 194.2.0.80
Feb 28 12:08:30 129.176.212.12
Feb 28 12:08:31 209.235.147.40
Feb 28 12:08:31 194.25.242.123

Вообще впервые с таким столкнулся! Посмотрел логи за этот день поиском поискал соответствующие имена и IP не нашел! Мысли две: либо кто шлет через почтовый сервер либо какая то зараза шлет прямо с машины (если такое возможно!). Подскажите как поступить в данной ситуации!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dikens3]

Для пользователей закрыть 25 порт наружу. Вирусы внутри сети рассылают спам (бот NET скорее всего)

Вообще нужно начинать так:
У меня в сети пользователи работают на Windows, поэтому .... Вирусы, Вирусы, Вирусы...

[damir_madaga]

Для пользователей закрыть 25 порт наружу. Вирусы внутри сети рассылают спам (бот NET скорее всего)

Вообще нужно начинать так:
У меня в сети пользователи работают на Windows, поэтому .... Вирусы, Вирусы, Вирусы...

С привеликим удовольствием бы начинал с другой строчки но к сожалению это так! А если части пользователей необходимо использовать 25 порт, можно их ограничить только двумя адресами mail.ru and yandex.ru?

[dikens3]

Конечно, я своих фаером ограничиваю.

[damir_madaga]

Скажите вот такое правило будет работать в моем случае?

Код: Выделить всё

 ${FwCMD} add allow tcp from ${NetIn} 25 to ${ip_mail} out via ${LanOut}
${FwCMD} add deny tcp from ${NetIn} 25 to any out via ${LanOut}

Где соответственно:

Код: Выделить всё

NetIn внутренняя сеть
LanOut внешняя сетевая карта
ip_mail список разрешенных почтовых серверов

[dikens3]

Ещё раз говорю, закрыть 25 порт.

Код: Выделить всё

${FwCMD} add allow tcp from ${NetIn} 25 to ${ip_mail} out via ${LanOut}

Перевод: Разрешить почтовым серверам своей сети выход в инет на определённые сервера?
Наверное так:

Код: Выделить всё

${FwCMD} add allow tcp from ${NetIn} 1024-65535 to ${ip_mail} 25 out via ${LanOut}
${FwCMD} add deny tcp from ${NetIn} to any 25 out via ${LanOut}

[Qaz]

Лутше просто нат закрыть юзерам.

[damir_madaga]

Бухи там! Нельзя им без ната!

[Qaz]

это еще почему? у меня от все отлично работают и без ната

[Urgor]

Для пользователей закрыть 25 порт наружу. Вирусы внутри сети рассылают спам (бот NET скорее всего)

Вообще нужно начинать так:
У меня в сети пользователи работают на Windows, поэтому .... Вирусы, Вирусы, Вирусы...

С привеликим удовольствием бы начинал с другой строчки но к сожалению это так! А если части пользователей необходимо использовать 25 порт, можно их ограничить только двумя адресами mail.ru and yandex.ru?

Посмотри тут, у мя именно так сделано....

[Laa]

Я сделал так:

Код: Выделить всё

## kuda mozhno slat na tcp/25
/sbin/ipfw table 1 add $my_smtp
/sbin/ipfw table 1 add $some_smtp2

## komu mozhno kuda ugodno na tcp/25 slat:
/sbin/ipfw table 2 add x.y.0.112/28
/sbin/ipfw table 2 add x.y.0.80/28
/sbin/ipfw table 2 add x.y.0.128/27
/sbin/ipfw table 2 add x.y.0.112/32
/sbin/ipfw table 2 add x.y.0.10/32
/sbin/ipfw table 2 add x.y.0.2/32

/sbin/ipfw add 7 permit tcp from table\(2\) to any 25 out via $ext_if
/sbin/ipfw add 8 deny log logamount 20000 tcp from 10.0.0.0/8 to not table\(1\) 25 out via $ext_if

Может кому пригодится.

[Urgor]

Я сделал так:
[__Skipped__]
Может кому пригодится.

Это не спасет если комп из списка "table 2" cловит каку заразу и станет слать спам.

[cyrus_user]

вариант, что ваш почтовый сервер open relay вы рассмотрели?

[damir_madaga]

В общем чего то я упустил! Создав эти правила

Код: Выделить всё

 ${FwCMD} add allow tcp from ${NetIn} 25 to ${ip_mail} out via ${LanOut}
${FwCMD} add deny tcp from ${NetIn} 25 to any out via ${LanOut}

Рассылка прекратилась, вроде как погонял вирусов на машинах юзеров, взялся настраивать почтари и тут такая незадача: правило

Код: Выделить всё

 ${FwCMD} add allow tcp from ${NetIn} 25 to ${ip_mail} out via ${LanOut}

работает, т.е. когда я смотрю

Код: Выделить всё

ipfw show

у меня пакеты туда попадают, но при этом Телнетом цепануться не могу и почта само собой не ходит! Подскажите как решить проблемку?

[Laa]

Я считаю что не очень грамотное решение так блокировать.
+ не очень внятные названия переменных.

сделай так:

Код: Выделить всё

my_local_if="rl0"

fwcmd="/sbin/ipfw"

$fwcmd add 1000 permit tcp from any to me 25 in via $my_local_if
$fwcmd add 1100 unreach port log logamount 2000 tcp from any to any in via $my_local_if

исключения вставляй послее 1000 правила.

[damir_madaga]

А можно пояснить правила, а то совсем не понятно!

[InventoR]

Не знаю, как мне кажеться, для борьбы с такими вещами досточно:
ограничить очередь на количество отправляемых писем через почтовый сервер, закрыть open relay.
закрыть отправку писем через внешнии smtp сервера, заставить всех отправлять письма только через твой сервер.
заставить всех в твоей сети, сперва авторизироваться на сервере перед отправкой.
поставить систему мониторинга за почтовой очередь и при обнаружении спам рассылки, автоматически делать блокирование сервера на определенное время и настроить систему уведомления админа, что на таком-то сервере очередь просто перегруженна.
на крайняк, сделать ход конем.
закрыть в сети в обще доступ к 25 порту в том числе и на сервер, а вот внутрений интерфейс сервера пересадить на альтернативный порт, к примеру 2525.

[BlackPhantom]

Аналогичная трабла была. Клиенты иногда цепляют вирусы, и прямо с машины рассылается спам. В результате на Ip попадает в черный список. Решил проблему так:

Код: Выделить всё

ipfw add 9 deny tcp from 192.168.0.0/16 to not ${smtplist} 25

в smtplist перечислил список разрешеных почтовиков (локальный, smtp.mail.ru, smtp.yandex.ru, etc)...