classic.ISPforum.cz

Zdravim,

Každý den ráno koukám na http://mxtoolbox.com/blacklists.aspx a vidím svou IP 77.48.xxx.xxx zaříznutou na CLB a Spamhaus Zen, viz screeny níže.
V mikrotiku mám nastaveno drop forward na 38.102.0.0/16 a 104.244.0.0/16 (IP 38.102.150.27 a 104.244.14.252 na které chodí údajné útoky - taky screeny)

Využil jsem bezplatného 14ti denního posílání flow k hapimu, a tam v dané časy nejsou žádná taková spojení na tyhle IP..


192.168.0.132 je místní SMTP

Jak bych měl postupovat?

Hmhm, tak jsem na to přišel, on je tam UTC čas, ne CET, což je +2h, takže jsem to našel a jdu někoho zmlátit.

No v podstatě jsem to bez netflow od hapiho nenašel..

Ahoj,
máme ve firmě stejný problém, každý den jsme na listu abuseat.org poradí mi někdo jaká nastavit ve firewallu pravidla aby blokovali tyto útoky? nebo pokud se to stalo někomu z Vás, jak jste to řešili? díky moc za pomoc

Muzu sem v pondeli poslat konfig toho co mi tohlety sragory likviduje

nemsl píše:Muzu sem v pondeli poslat konfig toho co mi tohlety sragory likviduje

Výborný, díky moc !

Omezit veškerou odchozí komunikaci na portu 25, povolit ji jen z případného mailserveru uvnitř sítě. V dnešní době by už žádní poštovní klienti port 25 pro odesílání pošty svému MTA používat neměli...

Potom se dívat do LOGu zahozených paketů, kdo zevnitř na ten port 25 "klepe" a na daných strojích se zaměřit na viry.
Podobný problém nastává, pokud je v síti nějaký webserver, má nakonfigurované odesílání pošty a je na něm nějaký děravý skript (typicky stoletá neudržovaná Joomla...).

Reseni je jednoduche. Komplet zablokovat port 25 krom ip na ktere je tvuj webserver. Tem co budou volat ze jim neco nejde a maji hosting u tebe tak vysvetlit ze jejich ajtak je dement a 25 uz neni v kurzu a tomu zbytku vysvetlit ze neni ani jeden jediny duvod aby pouzivali tvuj smtp server, kdyz maji mail u seznamu. A ze si maji nastavit SSL/TLS smtp server sveho poskytovatele mailu. Vyreseno navždy. Kazde jine reseni je spatne reseni.

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer

action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list

address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

zzam píše:/ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer

action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list

address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

Taky fajn reseni, ale z dlouhodobeho hlediska je moje reseni ucinnejsi )))

Taky jsem s tím zapasil, vůbec to ale nebyl problém na portu 25 ale na různých portech. Na vině byl zavirovany počítači který mě Windows xp, jediný ve firmě.

Mario píše:vůbec to ale nebyl problém na portu 25 ale na různých portech.

Mám někde i stovky počítačů za jednou IP, směrem do internetu blokuji jen port 25 (a pár portů co používá windows sdílení) a ty IP na blacklistu nejsou.

Mario píše:Taky jsem s tím zapasil, vůbec to ale nebyl problém na portu 25 ale na různých portech. Na vině byl zavirovany počítači který mě Windows xp, jediný ve firmě.

Já jsem měl uplně ten samý případ

Já mam tedy ve fw filter tohle

Ony toho kódu nejspíš části chybí (celý chain standard?), není poznat kde je accept na navázaná spojení... Ze zbytku mi vyplývá, že blokuješ desítky naprosto legitimních portů, navíc teoreticky v obou směrech takže pokud nebohý uživatel navazuje spojení s webserverem (na port 443) a jeho počítač si "omylem" vybere třeba port 65506, tak to půjde na timeout. Co když chce uživatel přistupovat na něco na nestandardním portu (typicky třeba kamery...) a zrovna se strefí (třeba na port 4444) ?

Nerozumím ani snahám "počítat" kolik spojení se navazuje na port 25 a pak až to blokovat. Stačí i jedno jediné spojené a můžeš být na blacklistu. V dnešní době:
- uživatelé vůbec nepotřebují navazovat spojení na port 25, stačí jim porty 465/587, na těch je vždy služba s autenizací a blacklist přes tyto porty nehrozí. Na port 25 potřebuje komunikovat jen mailserver, pokud ho chce nějaký uživatel u sebe provozovat tak má svouji veřřejku a na té se mu to povolí.
- kdysi byly snahy povolovat 25 na známé servery (seznam, centrum...), s ohledem na výše napsané k tomu není důvod, uživatele je potřeba přesvědčit, že si to má nastavit na 465/587
- ISP již dnes nemá ani důvod provozovat open relay pro své zákazníky - nechť si nastaví odesílání s autentizací. A toto je potřeba i kvůli SPF/DKIM na jejich doménách.
Jediný důvod pro provoz relay je snad jen odesílání mailů s různých (zastaralých) krabiček, kde autentizaci nelze nastavit nebo nefunguje správně...