Past na spamerov

[Krabík]

Taky se mi zda, ze to celkem funguje, pro jistotu jsem tam nastavil jen 30min do Address listu. Zajima me, jake hodnoty mate nastavene, psalo se tu, ze tam nekdo daval vic nez ty 3 a 10 za minutu.... Ja tam dal 10 a 30, ale stalo se mi, ze jsem tam spadl ja sam a zadny spam neposilam

[knedlik]

Sypu si popel na hlavu... pro jistotu jsem si ty pravidla jeste jednou zkontroloval a nasel jsem si tam docela dost zasadni chybku. Proto mi to delalo to co nemelo.
Ono ja jsem to obslahaval od Skrebona nejakou chvili pred tim, nez to dal sem na forum. Takze mozna to jeste vysperkoval.

[Jones]

Kdyz nechate ip adresy z listu SMTP_SPAM zahazovat uz pred vsemi ostatnimi pravidly snizite pravdepodobnost falesne detekce.

Jako uplne prvni bych dal pravidlo, ktere povoluje bezne SMTP servery. Tedy seznam.cz a Vami pouzivane SMTP servery.

Moje zkusenost je takova, ze SPAM u nas v siti rozesila predevsim ruzny malware uchyceny v PC zakazniku. Tyhle programky vetsinou posilaji SMTP pozadavky naprimo a tedy na ruzne verejne IP takze tim, ze povolim bezne SMTP servery uchranim vetsi cast zakazniku pred milnou detekci v pravidlech.

Pro ty co nevi co je chain=ostatne. Je to chain, ktery si Skrebon vytvoril a provoz do nej nasmerovava akci jump to chain pravdepodobne z forwardu. Jde predevsim o prehlednost ve firewallu, kdy je vyhodne jednotlive ukony rozdelit do ruznych chainu. Samo az od urcite poctu. Lidi s 8 pravidly ve filtru to resit nemusi. Klidne muzete chain zmeni na forward.

[belmorfeus]

mohl by sem nekdo postnout funkcni nastaveni ? Tak aby se to nemuselo různě dolaïovat ?

[luigi]

BLBOST, stačí na spamerském SMTP změnit port a máte vymalováno.

Pravda ,ale pokud já vim tak komunikace protokolem SMTP je téměř vždy ASCII a každý email musí obsahovat e-mailovou hlavičku ,jež pozůstáva z identifikace odesilatele a příjemce...tudíž každý email vypadá nějak takto:

Kód: Vybrat vše

MAIL FROM: adresa@odesilatele.org\n
RCPT TO: adresa@prijemce.org\n
DATA\n
Data e-mailu\n
.\n
\n


Tudíž si stačí označkovat pakety ,které obsahují "MAIL FROM:" a dropovat ty pakety ,které jsou označené a obsahují "RCPT TO:".Problém asi nastane pokud tyto dva texty nejsou v jednom paketu ,ale pokud to nepíšete z terminálu ,tak v praxi se celý e-mail klidně vloží do jednoho paketu. Takže v tomto případě by asi nepomohlo si změnit ani port.A navíc se timto způsobem dají označovat jednotlivé e-maily a nejenom spojení(v praxi se totiž pro každý e-mail nevytváří samotné připojení ,ale spammer se připojí na SMTP servery a do každého spojení pere e-maily).
Jediný háček je v tom ,že prohledávat z čeho každý paket pozůstává bude asi docela výpočetně náročné při vyšších datových tocích...nejlepší řešení je asi vlastní SMTP Server.

Nevěděl by někdo jak nastavit Mikrotika, aby při určitém množství emailů z jedné IP adresy za určitou dobu zaslal adminovi email? Nepodařilo se mi totiž tuhle PAST na SPAMery dobře nastavit. Děkuji za odpověï.

Velmi jednoduše:

Kód: Vybrat vše

/system logging add topics="smtpspam" action=mail


a ještě musíte mít nastaveno v /system logging action akci mail a zde zadán váš e-mail.
Jinak pokud nechcete aby vám byl při každém označeném paketu byl poslán e-mail tak doporučuji přesunou akci logování do mangle a před pravidlo s logování předřadit pravidlo ,které bude pakety acceptovat pokud již src-address bude v addres listu.

pises: /system logging add topics="smtpspam" action=mail
odkial mas ten "smtpspam"

[Petr Vlašic]

pises: /system logging add topics="smtpspam" action=mail
odkial mas ten "smtpspam"

Omlouvám se, jsem se trochu sekl. Myslel jsem samozřejmě:

Kód: Vybrat vše

/system logging add topics=firewall,info prefix="smtpspam" action=mail


[dvcompt]

prosím nemáte někdo přístupnou konfiguraci pro ty spammery?
porad bojuju s tim ze jsme kazdy den zapsany na blacklisty.
smazu a za tři dny znovu.

díky za typy a rady.

[goblajz]

Ty pravidla jak jsou na první stránce Ti nefungujou?

Já to mam takhle a od blacklistů je už klid:

Kód: Vybrat vše

add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward comment="Detekce spamera a zapis do adress-listu" connection-limit=5,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=reject chain=forward comment="Blokovani spameru" disabled=non dst-port=25 protocol=tcp reject-with=icmp-network-unreachable src-address-list=spammer

ten limit a rate si musíš nastavit podle sebe.

pak k tomu mam ještě seznam povolených SMTP v addresslistu:

Kód: Vybrat vše

add action=drop chain=forward comment=Antispam disabled=no dst-address-list=!SMTP dst-port=25 protocol=tcp

[hapi]

smtp tvrdě blokujeme. Můžou maily posílat přes zabezpečený smpt nebo imap atd.. většina mail serverů (seznam.cz atd..) toto umožňujou a lidi takhle můžou odesílat v jakýkoliv síti protože to je jiný port než 25 a je to ověřený loginem atd.. těžce srát na otevřený smtp. Akorát s tim je sraní bez efektu.

[keksik]

smtp tvrdě blokujeme. Můžou maily posílat přes zabezpečený smpt nebo imap atd.. většina mail serverů (seznam.cz atd..) toto umožňujou a lidi takhle můžou odesílat v jakýkoliv síti protože to je jiný port než 25 a je to ověřený loginem atd.. těžce srát na otevřený smtp. Akorát s tim je sraní bez efektu.

Presne, od zablokovania smtp portu 25 je klud. Komu sa to nepaci a chce svoj oblubeny ci firemny mailserver pouzivat, zistime si IP a povolime cielene. A je koza cela aj vlk syty.

[Majklik]

Pokud blokuji port 25 (SMTP), tak bych měl blokoval i 465 (SMTPS). Jednak ten port je k tomu účelu už hodně let zrušen (a koncept SMTP ove SSL byl zahozen ve prospěch STARTTLS na portu 25), takže by se ta služba neměla používat a už pár červů jelo tak, že když 25 byl bloklý, tak to zkoušeli přes 465. Protože stále řada serverů to podporuje i jako otevřený port.
Klientovi nechat port 587 (submission). který je určen k předávání pošty od klienta na jeho odesílací SMTP (ha ha ha, teď ještě lidi přesvědčit, ať zahodí některé historické verze Outlooků, kde to blbne).