LINUX.ORG.RU
ФорумAdmin

Как бороться со SPAMом?


0

1

Всем привет.

Ситуация следующая.

Мелкий провайдер, своего почтовика нету, 25 порт открыт для всех в нашей сети. В последнее время (неделя-две) начали приходить сообщения\жалобы на спам. Что с наших сетей, приходит спам.

Подскажите что с этим можно поделать? Куда копать? куда смотреть? Что ставить? Пока даже ни каких идей нету... (


Мелкий провайдер, своего почтовика нету, 25 порт открыт для всех в нашей сети.

Не распарсил.

Как бороться со SPAMом?

Отключить комп?

Если хочешь чтобы помогли пиши подробнее что стоит, как настроено и как сеть обустроена.

Zodd ★★★★★
()

прикрыть 25 порт в исходящихся соединениях и сделать релей который бы имел всякие ограничения.

Или воткнуть бридж который будет мониторить активность на исходящие соединения 25-м порт.

true_admin ★★★★★
()

> Подскажите что с этим можно поделать?

настроить свой почтовый сервер, закрыть 25й порт везде кроме своего локального почтовика, там поставить лимиты на кол-во отправляемых писем и спам-асасин.

Komintern ★★★★★
()

> Мелкий провайдер, своего почтовика нету, 25 порт открыт для всех в нашей сети. В последнее

время (неделя-две) начали приходить сообщения\жалобы на спам. Что с наших сетей, приходит спам.


Жалобы, очевидно, с отчётами ? Там IP должно быть видно. Отключать. И в договоре пункт не забыть, что оператор в праве приостановить действие договора при обнаружении рассылки спама или вирусной активности.

Если NAT, то клиентов загонять на релей до NAT, чтобы в заголовке серый IP виксировался. И свой почтовик таки нужен.

AS ★★★★★
()
Ответ на: комментарий от Sylvia

> поставьте авторизацию на SMTP

Это не сильно поможет, спам с той же авторизацией в состоянии рассылаться. Речь-то про рассылку с зараженных компьютеров, как я понимаю.

AS ★★★★★
()
Ответ на: комментарий от AS

я не сразу подумала про NAT, в любом случае меры по контролю исходящих SMTP будут недостаточны если релей будет принимать все подряд по 25-му порту, взять хотя бы такую древнюю живность как Netsky.a , он прекрасно находит адрес релея и очень активно его использует.

Т.е. все равно нужна авторизация SMTP на релее.

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

> Т.е. все равно нужна авторизация SMTP на релее.

Если пароль на компьютере клиента сохранён, а живность сидит на нём же, живности ничто не помешает воспользоваться релеем. Что-то это осноновит, но мера эта достаточно условна. Лимиты на количество одновременных сессий и количество сообщений в единицу времени будут более эффективны. Плюс контроль за статистикой/отлупами/разное и своевременная реакция.

AS ★★★★★
()

Фильтруй базар.

Добавь в договор пункт о фильтрации трафика (на 25 порте), если такового ещё нет. Прозрачно проксь всё что проходит через 25 порт, фильтруй. Если не потянешь прозрачный SMTP прокси, то разреши из внутренней сети пересылку только через свой SMTP.

Camel ★★★★★
()

Из всего выше сказаного:

1) Поставить себе что нить типа postfix-а

2) Закрыть 25 порт

3) Сделать релей

4) Ввести авторизацию на нем

5) Настроить «контроль» и «слежение» за уходящими письмами

ни чего не упустил?

З.Ы. А не заделитесь ссылкой на счет прозрачного SMTP почитать поподробней?

Morbid
() автор топика

Я на это забил. Задрали меня абузы от вышестоящего прова, у которого мы канал берем и в пару их IP юзаем. Ну я им и ответил, что я могу на любом своем почтовом сервере, в т.ч. на маааленьком таком почтовом сервере, мааааленкой такой организации создать столько тысяч человекочасов в день... При условии, конечно, что на каждый спам у меня абузы бы рассылались и их кто нить бы читал и меры принимал.
И еще, если эти мудаки админы на буржуйских мейлсерверах не знают иного способа борьбы со спамом как рассылка абуз (фактически чем лучше самого спама то?), то они сами себе злые буратины. Есть очень эффективные технические меры, тот же грейлистинг. Так что пусть все идут лесом.
Я не прав?

FollowTheRabbit
()

1. поставить свой smtp сервер
2. включить в нем авторизацию по login/pass
3. поправить договор с клиентами, чтобы за рассылку спама были санкции, вплоть до отключения
4. ждать жалоб, смотреть логи
5. отключать спамеров
6. PROFIT

На самом деле все проще, клиенты на Win, их зараженные бот-компы и отправляют спам, сами клиенты об этом могут даже не подозревать.

zgen ★★★★★
()
Ответ на: комментарий от FollowTheRabbit

Я не прав?

Не прав в том, что ухудшать ситуацию от текущей в любом случае не стоит.

zgen ★★★★★
()

Существующие рядом провайдеры, в т.ч. региональный, ни один не закрывают 25 порт, отключают абонентов, вообще предпринимают какие либо действия. Если даже звонить клиентам и просить их что бы установили у себя антивирус, то это во первых и... и этого достаточно - возможная потеря клиента. Ну кто в здравом уме будет это делать? Я честно одно время пытался позвонить самым злостным спаммерам. По-большей части на том конце провода берет трубку немолодая мамаша, у которой сын в 1-4 классе, ладно если на продвинутая старушка и что? На вопрос «установлен ли антивирус», они задают встречный вопрос «а как его устанавливать», ладно если не «а что это такое». Как правило, предложение вызвать на дом «скорую компьютерную помощь» уходят в никуда, либо решают проблему лишь на время. Отключенные клиенты уходят к другим. Так что вариантов больше нет.

FollowTheRabbit
()

Народ, а кто интересовался, живность нынче умеет рассылать спам по шифрованному соединению, или все гонит в открытом виде?

И, если вирусня использует только нешифрованные каналы, как можно попроще зарезать их на шлюзе, оставив возможность отправлять мыло с использованием STARTTLS?

thesis ★★★★★
()
Ответ на: комментарий от thesis

А кто что может сказать о такой вот реализации?

iptables -A FORWARD -s {LOC_NETWORK} -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --s econds 60 --hitcount 6 --name SMTP_LOCAL --rsource -j ULOG --ulog-prefix «Spam:» --ulog-nlgroup 2 --ulog-cprange 100

то есть отлавливать тех пользователей которые открывают Nое кол-во соединенй по 25 порту за определенный промежуток времени?

Morbid
() автор топика
Ответ на: комментарий от Morbid

Ну, это позволит уменьшить поток почты с зараженных машин. Но это не решение, а так, костыль.

Я же мечтал о том, чтобы использовать на шлюзе некий фильтр с анализатором протокола SMTP, который резал бы установленное соединение при попытке передавать данные по незашифрованному каналу.

Погуглил, не нашел ничего похожего. Может, кто-нибудь придет, подскажет, любопытно же.

thesis ★★★★★
()
Ответ на: комментарий от thesis

>Народ, а кто интересовался, живность нынче умеет рассылать спам по шифрованному соединению, или все гонит в открытом виде?

умеет уже дано.

anonymous
()
Ответ на: комментарий от FollowTheRabbit

>Существующие рядом провайдеры, в т.ч. региональный, ни один не >закрывают 25 порт, отключают абонентов, вообще предпринимают какие >либо действия

И закрывают и отключают.

Собственно уже сказали что делать - ставить свой МТА с ratelimit, sender verfy и прочим. В случае прецедента - банить 25й порт.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.