блокировка посылки данных на MX

Чтобы это предотвратить, я заблокировал маршрутизацию на 25 порту.

Правильно.

Но хотелось бы заблокировать и по остальным портам

Зачем? Тебе не всё ли равно, куда пользователи будут ходить по 587 порту? Твоё какое дело? Ну поставь мониторинг на эти порты, кто будет дофига трафика гонять - того и вычислишь.

А хочешь я тебе сказку рассскажу? Можешь отыскать тут мой нытик тред... - Я попал в спам листы не из-за 25 порта! А из-за того, что мои пользователи могут ходить на 80 порт, т.е. смотреть сайты! Веришь?! Не веришь..? Ну и не верь! А в спам-лист ты ЛЕГКО попадёшь, если придёшь на сайты ботнетов, которые расположены на 80 порту. - Это всё мониторится, и тебе в причинах бана укажут это.

Я просто всех стал выпускать через другой ip адрес белый, и закрыл 25 порт. Чего и тебе желаю!

Эта статья должна помочь.
http://habrahabr.ru/post/110771/

Делаем финт ушами: блокируем трафик на порты 25 и 587, на роутере делаем редирект всего трафика который идет на порт 20025 на 25 и 20587 на 587. Юзерам говорим вместо 25-го порта юзать 20025 (с 587 аналогично). В итоге если появится вирус, фиг он отправит спам. Ну а офисный планктон сможет без проблем юзать почту.

Ахаххаха, и юзвера будут у тебя айфончики перенастраивать каждый раз свои с ноутбучками? Когда из офиса домой приходить будут....

В итоге если появится вирус, фиг он отправит спам.

Ага. В настройки Оутлука он, конечно, не посмотрит... Паролями пользоваться, и то умеют.

подключающимся к яндекс/гугл/мэйл.ру/итд почте. Если я заблокирую
587 и остальные порты, то они не смогут соединиться.

Скажи, что запрещено. Пусть на отправку используют корпоративный почтовый сервер.

Пральна! Всё запретить и сидеть на лоре с 5 звёздами! Дело говоришь! Хороший админ!

Ахаххаха, и юзвера будут у тебя айфончики перенастраивать каждый раз свои с ноутбучками?

Айфончики с ноутбучками пускай идут в лес. Офисная почта дома не нужна :)

Тебе не всё ли равно, куда пользователи будут ходить по 587 порту?

Не пофиг. Я не хочу, чтобы кто-то спамил через меня.

Речь про домашнюю сетку?

Это не корпоративная сетка, а дома. Но компов много, ибо живу не один.

да

Высели остальных и проблема перестанет быть актуальной :)

Или сделай им отдельные интернеты через другого провайдера, и твой IP подвергаться риску не будет

Это не корпоративная сетка, а дома. Но компов много, ибо живу не один.

Ну редирект сделай на свой локальный релей. И там всякий rate control/антиспам с уведомлениями.

Ахааха, КАК ОНИ БУДУТ СПАМИТЬ ЧЕРЕЗ тебя? Ты о чём? Они будут спамить исключительно через тот сервер на который они подключаются...

Это как? 587 порт уже давно у всех по SSL, как он сделает редирект?

Я тебя расстрою, но подавляющему большиству вирусов вообще насрать на то, что у тебя открыто, они сейчас все ходят на http сайты где твоими компами успешно рулят.

Они будут спамить исключительно через тот сервер на который они подключаются...

Мне как-то это пофиг, если они будут спамить через smarthost с авторизацией, спертой из почтового клиента. Насколько я знаю, за это ip не вносят в блеклисты. А вот за спам на MX точно вносят.

Если у кого из них появится вирус, управляемый через сайт - мне пофиг. Если он начнет спамить так, что меня могут заблеклистить - мне не пофиг.

Спам на MX... Это ты про что..? Чтобы тебя не внесли как спамера, тебе достаточно просто закрыть порт 25. Но это тебе не даёт гарантии сто процентов, так-как есть ДРУГИЕ причины по которым тебя могут внести в стоп листы. - Если ты будешь участником ботнета какого-нибудь, то поверь - тебя забанят.

тобы тебя не внесли как спамера, тебе достаточно просто закрыть порт 25.

А что если он будет на mx по 587 порту спамить?

Спам на MX... Это ты про что..?

Прикидываясь почтовым сервером. У большинства он не сработает, так как у них серый ip, а если и белый, то нет ptr, и их отсеивают сразу. Но у меня то ptr есть.

У большинства он несработает, так как у них серый ip, а если и белый, то нет ptr. Но у меня то ptr есть.

И сколько таких людей среди аудитории ботнетов, чтобы разработчики бота этот случай вообще учитывали и использовали?

Ничего не понимаю... Ты понимаешь, что порт 587, позволяет начать сессию smtp только аутотентифицированному пользователю? У тебя впринципе удалённая сторона на порт 587 без проверки подлинности не примет. Другое дело что тебя могут использовать для ПОДБОРА паролей от почты через smtp - это пожалуй что да... Но от этого ты не попадёшь в спам-листы.

Ты понимаешь, что порт 587, позволяет начать сессию smtp только аутотентифицированному пользователю?

Да, посмотрел, так и есть. Тогда проблема отсутствует.

587 порт уже давно у всех по SSL

Зачем ему дома SSL ? Обойдутся обычным SMTP.

Другое дело что тебя могут использовать для ПОДБОРА паролей от
почты через smtp - это пожалуй что да...

Для отправки тоже. Ничего не мешает слать с его внутренних хостов хоть с авторизацией. Это сплошь и рядом.

Здрасьте приехали. :) Т.е. ты предлагаешь, юзать на мобильниках google почту на 587 без SSL?

Т.е. ты предлагаешь, юзать на мобильниках google почту на 587 без SSL?

Он, вообще-то, про домашнюю сеть.

Да насрать, пусть отправляют. Заражённая ботнетом машина будет отправлять не только через 587 порт, она ещё будет пробовать ходить на 25 порт, будет атаковать сайты на 80 порту, будет подбирать пароли на сайты через 443 порт, будет ломать капчи, будет отсасывать у Бетмена. Если машина в ботнете, она будет делать ровно то, что ей велят. От того, что она будет отправлять почту используя чей-то smtp в теории можно попасть в бан лист, но на практике вряд-ли. - Чтобы МИНИМИЗИРОВАТЬ присутствие чего бы то ни было в ботнете, необходимо: 1) антивирусное ПО, 2) устанавливать все обновления безопасности 3) контролировать всплески трафика от машин - тем же nfseen или чем-то другим. Только так можно МИНИМИЗИРОВАТЬ. Хотя сейчас ботнеты пошли умнее, и не всегда допускают всплески трафика. Кстати ещё как показали ТСу вначале, использовать лимиты DNS, тоже хорошая идея!

Как-то так...

Что значит домашнюю сеть? Сейчас все клиенты почтовые, если видят порт 587 - ставят сразу туда SSL, можно руками выставить без SSL, но не во всех. Но зачем так ИЗВРАЩАТЬ стандарты? В угоду чего?

Если машина в ботнете, она будет делать ровно то, что ей велят.

Ну так от этого и хочется защититься, на сколько я понял. И свой домашний SMTP-сервер тут поможет. Хоть возможностью подсчёта отлупов, хоть проверкой на спам. Опять же, можно просто считать. Вряд ли большой поток писем для дома нормален.

Сейчас все клиенты почтовые, если видят порт 587 - ставят сразу туда SSL

Ну а дома видеть не будут.

Но зачем так ИЗВРАЩАТЬ стандарты ? В угоду чего ?

Автоматом самодеятельностью заниматься - не сказал бы что стандарт.

Да тьфуй тебя по голове :) ... А если я блин дома хочу пользоваться gmail smtp по работе? Не, ну конечно же можно отправлять через домашний smtp, но зачем..? Зачем вообще дома нужен белый ip + MX запись? Это насколько надо упороться чтобы себе такое сотворить? - Ради эксперемента - ок. Но ради продакшена..? Или надёжность хомячковых провайдеров уже превосходит надёжность ДЦ?

Ну так от этого и хочется защититься, на сколько я понял.

Защищаться от ботнетов закрытием всех мыслимых и не мыслимых портов..? Я склонен к тому, чтобы не держать на локалхосте почтовый сервер, а отдаться в ДЦ/почту для домена... А не высасывать из пальца проблем.

Ты не сказал бы что 587 порт + SSL с авторизацией не стандарт? Ну ок. Иди скажи это разработчикам почтовых клиентов, а то они тупые ждут тебя вот как раз может быть. :) Ты мне всё же поясни, зачем дома держать свой почтовый сервер..? Чтобы что..? :)

Ты не сказал бы что 587 порт + SSL с авторизацией не стандарт?

Я не сказал бы, что стандарт - самостоятельно решать, как и куда подключаться. :-)

Или надёжность хомячковых провайдеров уже превосходит надёжность ДЦ ?

У кого как, и по каким параметрам.

Ну а я бы сказал, что ты упоролся просто... :) Ну конечно у себя дома ты можешь ходить и по http по порту 817. Но зачем? :)

У кого как, и по каким параметрам.

Да хоть бы и по параметру гарантированной ширины канала. Посмотрим как твоя почта с локал хоста будет бегать в воскресенье вечером, когда за бортом будет -30 и все хомячки придут ложить аплинки провайдера. :)

Да хоть бы и по параметру гарантированной ширины канала.

И, даже, тут. Если тебе он нужен дома, то дома оно быстрее. Одно дело ты в локалке с сервером работаешь, другое - когда до него хз сколько. Как раз встаёт вопрос в канале от тебя до ДЦ. Другой вопрос - если ты в дороге часто пользуешься, это да. Плюс, конечно, ремонт, если что, не сделаешь, если в отпуск укатил, или ещё куда.

Посмотрим как твоя почта

Это плохой пример. Давай абстрактно лучше. :-)

Да ты тролишь меня. :) Платить за белый ip + свет который сожрёт твой системник в месяц, будет много дороже чем инстанс в ДЦ. Да нафиг это надо вообще всё, если есть почта для домена от того же Яндекс..? Ну... Это я ещё молчу, про то, что надо будет постоянно или мириться с шумом от системника, либо куда-то его прятать, или заводить ноутбук для этих целей, но оно тоже шумит так или иначе. О чём ты вообще?