Past na spamerov

[skrebon]

Kód: Vybrat vše

add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    connection-limit=!3,32 limit=0/1m,10 src-address-list=!smtp_spam \
    action=accept comment="/SPAMER TRAP/ Povoli mimo smtp_spam 3 spojenia a 10 \
    syn SMTP spojeni za 1min" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    limit=1/15m,0 src-address-list=!smtp_spam action=log log-prefix="smtp \
    spam" comment="/SPAMER TRAP/ Logging 1x15min mimo smtp_spam \(zaloguje \
    prve spojenie spamera a uz ziadne dalsie\)" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=!smtp_spam action=add-src-to-address-list \
    address-list=smtp_spam address-list-timeout=6h comment="/SPAMER TRAP/ \
    Oznaci do spam listu IP spamera na 6hodin mimo smtp_spam" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=smtp_spam action=drop comment="/SPAMER TRAP/ Zahodi nove \
    spojenia smtp_spam" disabled=no

je tam mala hrubka na krase, snad sa podari niekomu z nas ju osetrit. Pokial v danu jednu minutu odosle spamer 9mailov/3aktivne spojenia a desiaty mail/stvrte spojenie bude bezneho usera, bohuzial do spam listu da toho bezneho. Nahoda to je velmi mala, ale ....

[birkof]

BLBOST, stačí na spamerském SMTP změnit port a máte vymalováno. Navíc bych se tohodle hodně bál, protože tímhle opravdu snadno zneschopníte normálního usera. Já osobně někdy pošlu hodně emailů, když si posíláme s kámošema vtipy atd.
Osobně bych se do tohodle nepouštěl. Spíš bych se snažil když už, tak logovat a pak si třeba dát bacha na konkrétní IP. Navíc předpokládám, že většina emailových serverů má posílání spamu ošetřeno tím, že jde odeslat jen určitý počet emailů v definované době. Zkuste si poslat emailovou bombu a uvidíte, že vám to nejspíše neprojde.
BTW: Nemáte ošetřený SSL port 995.

[skrebon]

BLBOST, stačí na spamerském SMTP změnit port a máte vymalováno. Navíc bych se tohodle hodně bál, protože tímhle opravdu snadno zneschopníte normálního usera. Já osobně někdy pošlu hodně emailů, když si posíláme s kámošema vtipy atd.
Osobně bych se do tohodle nepouštěl. Spíš bych se snažil když už, tak logovat a pak si třeba dát bacha na konkrétní IP. Navíc předpokládám, že většina emailových serverů má posílání spamu ošetřeno tím, že jde odeslat jen určitý počet emailů v definované době. Zkuste si poslat emailovou bombu a uvidíte, že vám to nejspíše neprojde.
BTW: Nemáte ošetřený SSL port 995.

Jo pri zmene portu to je jasne.... A pre normalneho usera to taktiez nie je. Ale definovat kludne vacsi rozsah aktivnych spojeni a i pocet mailov je velmi simple(i doba by isla definovat). Treba 20 aktivnych spojeni a 100 mailov za 15minut nikto snad odoslat nemoze... Skor je to o experimentovani. Ja osobne to nemam az takto prisne nastavene. Ale hlasene nejake problemy od userov nemam. Skor ma napada myslienka, pri prekroceni pravidla, vsetko dalsie od daneho usera previdlom z address listu presmerovat na svoj vlastny smtp server(na urcitu dobu), kde to bude uz nejako osetrene.

[knedlik]

Navíc předpokládám, že většina emailových serverů má posílání spamu ošetřeno tím, že jde odeslat jen určitý počet emailů v definované době.

V tomto mame mozna pravdu, nicmene se Vam muze stat jako me, ze se vam do site dostane vir, ktery zacne rozesilat spam a nasledne nekdo z napr. centrum.cz zavola vasemu ISP, ze posilate hodne spamu at s tim neco udela a pokud ten ISP ma jeste za spravce idi*ta, tak jste se dostal do nejhorsi kombinace. Me tento clovek normalne odpojil a nikomu nedal vedet. Kdyby mi zablokoval jeden port a zavolal me, tak nic nereknu a vinika najdu a bloknu mu port. Jenze ten clovek je píííííííp, takze jsem mel o zabavu postarane, navic v patek rano (obec i skola holt posilat formulare musi ).

No a po takovehle prihode jsem byl velice vdecny skrebonovi, ze me toto nastaveni ukazal. Pridal jsem na mnozstvi emailu a spojeni a jsem spokojeny.

[birkof]

Navíc předpokládám, že většina emailových serverů má posílání spamu ošetřeno tím, že jde odeslat jen určitý počet emailů v definované době.

V tomto mame mozna pravdu, nicmene se Vam muze stat jako me, ze se vam do site dostane vir, ktery zacne rozesilat spam a nasledne nekdo z napr. centrum.cz zavola vasemu ISP, ze posilate hodne spamu at s tim neco udela a pokud ten ISP ma jeste za spravce idi*ta, tak jste se dostal do nejhorsi kombinace. Me tento clovek normalne odpojil a nikomu nedal vedet. Kdyby mi zablokoval jeden port a zavolal me, tak nic nereknu a vinika najdu a bloknu mu port. Jenze ten clovek je píííííííp, takze jsem mel o zabavu postarane, navic v patek rano (obec i skola holt posilat formulare musi ).

No a po takovehle prihode jsem byl velice vdecny skrebonovi, ze me toto nastaveni ukazal. Pridal jsem na mnozstvi emailu a spojeni a jsem spokojeny.

Ano, chápu, že píííp admin je horší než cokoliv jiného, ale profesionálního spamera na síti takto neodradíte. Je to dobré na viry, které posílají mraky emailů. Viry se nesnaží moc často o modifikaci svého chování a proto jsou snadno predikovatelné a tímpádem filtrovatelné. Nicméně virů a jiného odpadu je na síti tolik, že když jsem se snažil do fw napsat pár pravidel na jejich filtrování, tak jsem narazil na problém, že useři začali řvát, že jim nejte tohle a pak zase tohle, protože viry často používají důležité porty a navíc těch pravidel bylo tolik, že jsem se nakonec na ně vyprdnul a filtruju jen nejproblematičtější porty a snažím se o určitý druh osvěty. Napsal jsem na naše stránky několik postupů jak si ochránit počítač.

[Tonda]

Podle mě se tento problém z principu na úrovni TCP/IP řešit nedá vzhledem k tomu, že na úrovni TCP/IP nejsem schopen rozhodnout, jestli je dané připojení normální mail nebo spam.
Tohle lze až na úrovni SMTP nebo POP3 protokolu. Pokud tedy nějakou sí provozuji a mám problém se spamery, tak si vyrobím vlastní mail server s antispamovou kontrolou nebo zkusím zapátrat po internetu po nějaké spamové proxy.

[knedlik]

v tomto sice máte pravdu, nicméně pouziti takovéto hodně hrubé ochrany není nikdy k zahozeni.Navíc, když nic nestoji.
Pokud vezmu v potaz, že normální člověk není schopen poslat i při sebevětší námaze víc jak 15 emailů za minutu , tak jakýkoliv další email bych zařadil do spamu. A kdo má opravdu tu potřebu poslat svým X kamarádům různé srandičky, tak ten holt si to bude muset rozložit a nebo jich holt pošle až za 6 hodin.

[schneiderf]

Nevěděl by někdo jak nastavit Mikrotika, aby při určitém množství emailů z jedné IP adresy za určitou dobu zaslal adminovi email? Nepodařilo se mi totiž tuhle PAST na SPAMery dobře nastavit. Děkuji za odpověï.

[keksik]

Kód: Vybrat vše

add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    connection-limit=!3,32 limit=0/1m,10 src-address-list=!smtp_spam \
    action=accept comment="/SPAMER TRAP/ Povoli mimo smtp_spam 3 spojenia a 10 \
    syn SMTP spojeni za 1min" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    limit=1/15m,0 src-address-list=!smtp_spam action=log log-prefix="smtp \
    spam" comment="/SPAMER TRAP/ Logging 1x15min mimo smtp_spam \(zaloguje \
    prve spojenie spamera a uz ziadne dalsie\)" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=!smtp_spam action=add-src-to-address-list \
    address-list=smtp_spam address-list-timeout=6h comment="/SPAMER TRAP/ \
    Oznaci do spam listu IP spamera na 6hodin mimo smtp_spam" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=smtp_spam action=drop comment="/SPAMER TRAP/ Zahodi nove \
    spojenia smtp_spam" disabled=no

je tam mala hrubka na krase, snad sa podari niekomu z nas ju osetrit. Pokial v danu jednu minutu odosle spamer 9mailov/3aktivne spojenia a desiaty mail/stvrte spojenie bude bezneho usera, bohuzial do spam listu da toho bezneho. Nahoda to je velmi mala, ale ....

Prosim ta ten chain=ostatne sa kde vzal?
Dik.

[milam]

Kód: Vybrat vše

add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    connection-limit=!3,32 limit=0/1m,10 src-address-list=!smtp_spam \
    action=accept comment="/SPAMER TRAP/ Povoli mimo smtp_spam 3 spojenia a 10 \
    syn SMTP spojeni za 1min" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    limit=1/15m,0 src-address-list=!smtp_spam action=log log-prefix="smtp \
    spam" comment="/SPAMER TRAP/ Logging 1x15min mimo smtp_spam \(zaloguje \
    prve spojenie spamera a uz ziadne dalsie\)" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=!smtp_spam action=add-src-to-address-list \
    address-list=smtp_spam address-list-timeout=6h comment="/SPAMER TRAP/ \
    Oznaci do spam listu IP spamera na 6hodin mimo smtp_spam" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=smtp_spam action=drop comment="/SPAMER TRAP/ Zahodi nove \
    spojenia smtp_spam" disabled=no

je tam mala hrubka na krase, snad sa podari niekomu z nas ju osetrit. Pokial v danu jednu minutu odosle spamer 9mailov/3aktivne spojenia a desiaty mail/stvrte spojenie bude bezneho usera, bohuzial do spam listu da toho bezneho. Nahoda to je velmi mala, ale ....

Prosim ta ten chain=ostatne sa kde vzal?
Dik.

Taky nemám jasno v tom chain=ostatne. Mohl by mne nekdo popostrcit?

[Petr Vlašic]

BLBOST, stačí na spamerském SMTP změnit port a máte vymalováno.

Pravda ,ale pokud já vim tak komunikace protokolem SMTP je téměř vždy ASCII a každý email musí obsahovat e-mailovou hlavičku ,jež pozůstáva z identifikace odesilatele a příjemce...tudíž každý email vypadá nějak takto:

Kód: Vybrat vše

MAIL FROM: adresa@odesilatele.org\n
RCPT TO: adresa@prijemce.org\n
DATA\n
Data e-mailu\n
.\n
\n


Tudíž si stačí označkovat pakety ,které obsahují "MAIL FROM:" a dropovat ty pakety ,které jsou označené a obsahují "RCPT TO:".Problém asi nastane pokud tyto dva texty nejsou v jednom paketu ,ale pokud to nepíšete z terminálu ,tak v praxi se celý e-mail klidně vloží do jednoho paketu. Takže v tomto případě by asi nepomohlo si změnit ani port.A navíc se timto způsobem dají označovat jednotlivé e-maily a nejenom spojení(v praxi se totiž pro každý e-mail nevytváří samotné připojení ,ale spammer se připojí na SMTP servery a do každého spojení pere e-maily).
Jediný háček je v tom ,že prohledávat z čeho každý paket pozůstává bude asi docela výpočetně náročné při vyšších datových tocích...nejlepší řešení je asi vlastní SMTP Server.

Nevěděl by někdo jak nastavit Mikrotika, aby při určitém množství emailů z jedné IP adresy za určitou dobu zaslal adminovi email? Nepodařilo se mi totiž tuhle PAST na SPAMery dobře nastavit. Děkuji za odpověï.

Velmi jednoduše:

Kód: Vybrat vše

/system logging add topics="smtpspam" action=mail


a ještě musíte mít nastaveno v /system logging action akci mail a zde zadán váš e-mail.
Jinak pokud nechcete aby vám byl při každém označeném paketu byl poslán e-mail tak doporučuji přesunou akci logování do mangle a před pravidlo s logování předřadit pravidlo ,které bude pakety acceptovat pokud již src-address bude v addres listu.

[Krabík]

Kód: Vybrat vše

add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    connection-limit=!3,32 limit=0/1m,10 src-address-list=!smtp_spam \
    action=accept comment="/SPAMER TRAP/ Povoli mimo smtp_spam 3 spojenia a 10 \
    syn SMTP spojeni za 1min" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    limit=1/15m,0 src-address-list=!smtp_spam action=log log-prefix="smtp \
    spam" comment="/SPAMER TRAP/ Logging 1x15min mimo smtp_spam \(zaloguje \
    prve spojenie spamera a uz ziadne dalsie\)" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=!smtp_spam action=add-src-to-address-list \
    address-list=smtp_spam address-list-timeout=6h comment="/SPAMER TRAP/ \
    Oznaci do spam listu IP spamera na 6hodin mimo smtp_spam" disabled=no
add chain=ostatne in-interface=LAN protocol=tcp dst-port=25 tcp-flags=syn \
    src-address-list=smtp_spam action=drop comment="/SPAMER TRAP/ Zahodi nove \
    spojenia smtp_spam" disabled=no

je tam mala hrubka na krase, snad sa podari niekomu z nas ju osetrit. Pokial v danu jednu minutu odosle spamer 9mailov/3aktivne spojenia a desiaty mail/stvrte spojenie bude bezneho usera, bohuzial do spam listu da toho bezneho. Nahoda to je velmi mala, ale ....

Ahoj, doladil to nekdo k uspokojive funkcnosti? Mam problemy s tim, ze muj smtp server je kazdou chvili na nejakem black listu. A clovek do toho porad nekouka, aby to bloknul rucne....

[knedlik]

Ahoj, doladil to nekdo k uspokojive funkcnosti? Mam problemy s tim, ze muj smtp server je kazdou chvili na nejakem black listu. A clovek do toho porad nekouka, aby to bloknul rucne....

Řekl bych, že asi nikdo. Postupným sledováním jsem přišel na to, že pokud nějaký klient chytne vira, který generuje spam, tak toho to zapíše do spamlistu + ještě každého dalšího, kdo pošle email by třeba jenom jeden.
Připadá mi, jako by to byla chyba mikrotiku. Prostě nepočítá ty počty spojení pro každou IP zvl᚝, což je docela škoda, protože jinak by to byly super pravidla pro zamezeni rozposílání spamu.
Já osobně to používám bez toho posledního pravidla -drop. Zjištuji tím spamera. Většinou to bývá první ve spamlistu.

[Leeonek]

Řekl bych, že asi nikdo. Postupným sledováním jsem přišel na to, že pokud nějaký klient chytne vira, který generuje spam, tak toho to zapíše do spamlistu + ještě každého dalšího, kdo pošle email by třeba jenom jeden.
Připadá mi, jako by to byla chyba mikrotiku. Prostě nepočítá ty počty spojení pro každou IP zvl᚝, což je docela škoda, protože jinak by to byly super pravidla pro zamezeni rozposílání spamu.
Já osobně to používám bez toho posledního pravidla -drop. Zjištuji tím spamera. Většinou to bývá první ve spamlistu.

Používám to k maximální spokojenosti, pro svůj vlastní smtp server mám nastavenou vyjímku a další kteří mají jiný smtp server holt pokud spadne do spamlistu taktam bude 6 hodin viset no. Po 6 hodinách se zruší a může vesele posílat mejly dál. Nezaznamenal jsem zatím žádnou stížnost klienta a pravidlo zabírá perfektně. Před nasazením tohoto pravidla jsem měl povolený pouze svůj smtp server a ostatní drop, klienti se přizpůsobili taky a nikomu to nevadilo...

[pepulis]

Taky to pouzivam a taky jsem spokojeny a dela to to co ma. Kazdy den tam vysi porad ti sami a presmerovani na web site s informaci o tom, ze tam maji spam, jim nejak nevadi a neresi to. Jejich vec.