Spambot v síti

[jerza]

Dobrý den
Potřeboval bych rady zkušených mikrotikářů proto se obracím s dotazem zde.
Jde mi o to že mi v síti něco spamuje a to dost dostavám se s pošťákem ( Exchange 2010 ) na BlackListy. Zkusil jsem už mnoho a mnoho věcí ale stále stejný problém.
Na přívodu je mikrotik na něm veřejka a routuje do lokální sítě, DHCP rozdává server kde je i nainstalovaný pošťák. Potřeboval bych zjistit který PC v síti mi dělá tento problém.
Všechny PC cca 15 jsem zkontroloval Esetem na serveru je ESET Mail Security a vše je čisté. Koukal jsem do front na Exchange a tam ty emaily nejsou, tak předpokládám že bude někde na PC virtuální SMTP, které bohužel nemohu dohledat. Na Spamhausu kde jsem dostal BAN mi napsali že to rozesílá na nějakých vysokých portech 40 000 atd...
Chtěl bych se zeptat zda to nějak na MK dokážu nějak najít a popřípadě jak? Na MK je základní firewall, který do teď pracoval dobře. Popřípadě jak odchytat na WAN komunikaci SMTP. Jak jsem už psal prosím nekamenujte mě odzkoušel jsem už mraky věcí ale bez výsledku a už jsem zoufalej Děkuji za každou radu.

[mirek.k]

Tools torch port 25.

[rsaf]

Zablokovat komunikaci ven na port 25 (mimo ten Exchange), případně provoz tohoto pravidla LOGovat... Myslím si, že blokace odchozí 25 je již pár desítek let v podstatě standard.

[jerza]

OK zkusím děkuji

[suk]

Přesně tohle s Whalebone umíme řešit. Pokud se správně nastaví vzhledem k NAT, tak dohlédneme na konkrétní lokální adresy a identifikujeme zdroj a hlavně rovnou tyhle aktivity dokážeme i blokovat. Máme od zákazníků ověřeno, že se po nasazení Whalebone do sítě snižuje zařazování na blacklisty i objem abuse mailů. Současně

Tohle v pohodě podchytíte i v rámci trialu. Klidně se ozvěte, rád proberu možnosti.

A můžete se i nezávazně stavit na některém z našich workshopů, kde přesně tyhle věci řešíme, více na https://whalebone.io/predstaveni

[mrazek609]

Zkuste nasadit tohle pravidlo na MikroTik.

Kód: Vybrat vše

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"


https://wiki.mikrotik.com/wiki/How_to_a ... MTP_output

[rsaf]

Přesně tohle s Whalebone umíme řešit. Pokud se správně nastaví vzhledem k NAT, tak dohlédneme na konkrétní lokální adresy a identifikujeme zdroj a hlavně rovnou tyhle aktivity dokážeme i blokovat. Máme od zákazníků ověřeno, že se po nasazení Whalebone do sítě snižuje zařazování na blacklisty i objem abuse mailů. Současně

Tohle v pohodě podchytíte i v rámci trialu. Klidně se ozvěte, rád proberu možnosti: petr.soukenik@whalebone.io, 777 002 674.

A můžete se i nezávazně stavit na některém z našich workshopů, kde přesně tyhle věci řešíme, více na https://whalebone.io/predstaveni

Vysvětlete, prosím, podrobněji a technicky, jak zabráníte zavirovanému PC v síti posílat maily, příp. ho automaticky detekovat a zablokovat.

[Myghael]

Odchozí provoz na port TCP 25 (SMTP), případně jiné pošty, povolit pouze z jedné nebo několika málo IP patřících např. poštovnímu serveru (pokud něco takového máte), na kterém už si to budete ověřovat.

[suk]

Přesně tohle s Whalebone umíme řešit. Pokud se správně nastaví vzhledem k NAT, tak dohlédneme na konkrétní lokální adresy a identifikujeme zdroj a hlavně rovnou tyhle aktivity dokážeme i blokovat. Máme od zákazníků ověřeno, že se po nasazení Whalebone do sítě snižuje zařazování na blacklisty i objem abuse mailů. Současně

Tohle v pohodě podchytíte i v rámci trialu. Klidně se ozvěte, rád proberu možnosti.

A můžete se i nezávazně stavit na některém z našich workshopů, kde přesně tyhle věci řešíme, více na https://whalebone.io/predstaveni

Vysvětlete, prosím, podrobněji a technicky, jak zabráníte zavirovanému PC v síti posílat maily, příp. ho automaticky detekovat a zablokovat.

1. V první řadě zabráníme tomu, aby se vůbec něco podobného začalo dít. Přes 90 % malware využívá DNS překlad. Blokujeme komunikaci s řídícími centry, které řeknou, že se nějaké maily mají začít rozesílat a kam.
2. Pokud se rozesílají maily tak, jak je popsáno výše, je potřeba MX a rozesílání se navíc děje podle určitých vzorců (např. konkrétní časy). I to je věc, kterou řešíme. MX anomálie detekujeme pomocí automatizovaného alertingu, a pracujeme i na funkci pro blokaci.