classic.ISPforum.cz

Zdravím,
na začátku března nás Spamhaus dal do blacklistu celý subnet (/18). Je to už po druhé za poslední rok, něco nekalého se v naší síti děje a bude potřeba zjistit co, jenže nevím jak na to...
IP admin si s tím neví rady, tak bych se chtěl pokusit zjistit proč jsme na blacklistu skončili. Žádost o odblokování subnetu podám, ale myslím si že když jsme nezjednali nápravu. tak v brzké době skončíme opět na seznamu nežádoucích adres a nevím kolikrát nás jejich databáze bude tolerovat
Naši zákazníci nemají blokovaný port 25, navíc v síti provozujeme i SMTP server (ASSP + postfix) - podle toho kolik emailů denně odejde, usuzuji že ho moc lidí nepoužívá

Poraďte mě. čím bychom měli začít, net flow v síti nemáme

Zablokovat 25 a prinutit vsechny zakazniky at pouzivaji SMTP s SSL/TLS nekdo ma zavirovany pc a spamuje.

Zacit si logovat si provoz na z vasi site ven na 25 portu na hlavni GW a zjistit odkud a ceho tam jde moc. Neni to nic sloziteho. Da se udelat i pravidlo ktere loguje 25 do internetu a pokud je toho vic nez nejaky pocet za hodinu tak ->blacklist.



http://wiki.mikrotik.com/wiki/How_to_au ... MTP_output

Není to jen o portu 25, blokace může být způsobena i z jiných důvodů (např. uživatelské PC zapojené do botnetu). Většinou tyto blokovací služby po zadání blokované IP adresy napíšou, jaký je důvod blokace, rady, jak tomu předejít, a dají i konkrétní záznam závadného přenosu. Na základě toho lze i dohledat, od kterého zákazníka to šlo. To byste ale pro dohledání samozřejmě museli mít netflow, pokud jsou zákazníci za NATem.

Začal bych určitě blokováním 25 portu pro zákazníky za NATem pro veřejky to nech klidně otevřený. Zákazníci si prostě musí nastavit tvůj SMTP server, ne bo požádat o zapsání na white list.

Jako běžný uživatel bych z tohoto nastavení nebyl nadšený.
1) Při přenášení např. notebooku to znamená stále měnit SMTP server.
2) Pokud na vlastním SMTP použivám SPF a DKIM, tak jsem vyloženě nahraný.
Takže takto určitě ne.
Jediná možnost je zapnout logování portu 25/465 a najít pachatele.
Lze doplnit o pravidlo na počet volání za určitý čas a pak šup na blacklist pro porty 25/465, jak tady už někdo navrhoval.
Mirek

SMTP může být z venku otevřený, takže se správným jménem a heslem odešle z cizí sítě. Pokud má požadavek na vlastní SMTP tak se dá na WhiteList.

mirek.k píše:Jako běžný uživatel bych z tohoto nastavení nebyl nadšený.
1) Při přenášení např. notebooku to znamená stále měnit SMTP server.
2) Pokud na vlastním SMTP použivám SPF a DKIM, tak jsem vyloženě nahraný.
Takže takto určitě ne.
Jediná možnost je zapnout logování portu 25/465 a najít pachatele.
Lze doplnit o pravidlo na počet volání za určitý čas a pak šup na blacklist pro porty 25/465, jak tady už někdo navrhoval.
Mirek

v nasi siti implicitne 25tku neblokujeme. Ale kazdy den se dela analyza provozu a na zaklade nekolika kriterii jsou vyhodnoceni spameri, kterym je automaticky nahozena restrikce a odeslan mail. Pokud se nejedna o opakovany pripad, ma zakaznik pomoci web rozhrani moznost restrikci sam zrusit.
Postupem casu ma tak vetsina zakazniku 25tku blokovanou a nevadi jim to.

mirek.k píše:Jako běžný uživatel bych z tohoto nastavení nebyl nadšený.
2) Pokud na vlastním SMTP použivám SPF a DKIM, tak jsem vyloženě nahraný.

Pokud máte toto, tak snad umí i Váš SMTP server SSL. Takže použijete šifrovaný přenos, který běží na jiném portu, a blokace 25ky Vás nezajímá...a jako bonus máte ještě bezpečnější přenos své mailové korespondence.

My port 25 taky blokujeme. Naši zákazníci mohou použít jakýkoliv jejich SMTP server, který podporuje SSL, což jsou nyní snad skoro všechny. A nebo mají možnost používat náš SMTP, který je otevřený i z venčí pro SSL přenosy po autentizaci zákazníka přiděleným jménem a heslem. Tím jsou vyřešeni cestovatelé s notebookem.

DarkLogic píše:....Většinou tyto blokovací služby po zadání blokované IP adresy napíšou, jaký je důvod blokace, rady, jak tomu předejít, a dají i konkrétní záznam závadného přenosu. ...

Bohužel spamhaus nepíše nic, jen obecně, že nám byl zablokován rozsah a že můžeme požádat o jeho odblokování.

Jinak u nás se veřejné IP adresy rozdávají z dhcp poolu, blokovat konkrétní adresy by nepomohlo...

A co na blokovanou IP řekne CBL?:
http://www.abuseat.org/lookup.cgi

Přidělování veřejek z poolu je asi ta zásadní chyba. Jeden problémový zákazník Vám tak zasere více veřejek, protože pokaždé dostane jinou a tu Vám svým závadným provozem dostane na blacklist. Kdyby měl každý zákazník staticky rezervovanou jen tu svou jedinou adresu, tak si maximálně tak zablokuje svou a ostatní zákazníky to nijak nezatíží.

Proč řešíte předělování veřejných adres náhodně?

A k čemu je vlastně taková proměnlivá veřejná IP adresa dobrá?
Mirek

Protože za statickou se platí, tak je to nastavené...

Sentello píše:Protože za statickou se platí, tak je to nastavené...

v tom pripade nechapu proc ten pool nema nastavene restrikce na SMTP a mozna i na dalsi nebezpecne sluzby.
Takhle neni mozne nastavovat restrikce spamerum,open dns/snmp/nntp/upnp ... jednotlive (na xicht) a jinak nez plosne to nema smysl. Pak to ale urcite nekoho postihne (protoze posila DNS dotazy z portu 53 a ackoliv nema open DNS server tak bude mit problem atd) ...

Sentello píše:Protože za statickou se platí, tak je to nastavené...

Myslel jsem k čemu je uživateli...
Mirek