1 Тема от stalkerson (04-04-2013 12:55:00 отредактировано stalkerson)

  • stalkerson
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 21-03-2012
  • Сообщений: 56
  • User Karma: -1

Тема: Спам smtp через роутер

Недавно пришло сообщение 

Вы используете или использовали IP-адрес "***.**.***.**".
На этот IP-адрес поступила жалоба-рапорт от мировых организаций
предотвращения киберпреступлений. Наиболее вероятно, что ваш компьютер
заражен вирусом и используется или уже использовали в своих действиях
международные преступники. Подчеркиваем, что Вы можете стать соучастником
преступления со всеми согласно действующему законодательству.
Просьба в КРАТЧАЙШИЕ сроки устранить проблему.
В противном случае будет заблокирован доступ к 25-го порта (это smtp
порт через который отсылаются e-mail)

На роутере стоит рельный ІР и подключено более 700 абонентов.
По умолчанию доспут через 25 порт закрыт всем, кроме некоторых юред. лиц.
но спам идет не через них
как можно проверить что и как и запретьить доступ к портам через которые они лезут наружу?
Поюзал поиск нашел что то типа

tcpdump -i em0 port 25
11:26:02.150062 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: P 76690:76696(6) ack 374 win 63867
11:26:02.159827 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: P 374:415(41) ack 76696 win 62780
11:26:02.160629 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: F 415:415(0) ack 76696 win 62780
11:26:02.161920 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: . ack 416 win 63826
11:26:02.700107 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: F 76696:76696(0) ack 416 win 63826
11:26:02.709699 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: . ack 76697 win 62780
11:29:22.351852 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:25.271338 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:27.884259 IP 10.102.4.108.localinfosrvr > bay0-mc2-f.bay0.hotmail.com.smtp: Flags [S], seq 1761806004, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:29.714987 IP 10.102.4.107.1139 > mail86.messagelabs.com.smtp: Flags [S], seq 1232360402, win 65535, options [mss 1460,nop,nop,sackOK], length 0

помогите розобраться

p.s.
на роутере отсутствуют mail сервисы

2 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 1,953
  • User Karma: 25

Re: Спам smtp через роутер

и запретьить доступ к портам через которые они лезут наружу?

с помощью фаервола?

кроме некоторых юред. лиц. но спам идет не через них

как определили?

3 Ответ от stalkerson

  • stalkerson
  • Стал больше говорить
  • Неактивен
  • Зарегистрирован: 21-03-2012
  • Сообщений: 56
  • User Karma: -1

Re: Спам smtp через роутер

как определили?

tcpdump -i em0 port 25

Там есть список ІР от которых постоянно 

11:29:22.351852 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:25.271338 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:27.884259 IP 10.102.4.108.localinfosrvr > bay0-mc2-f.bay0.hotmail.com.smtp: Flags [S], seq 1761806004, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:29.714987 IP 10.102.4.107.1139 > mail86.messagelabs.com.smtp: Flags [S], seq 1232360402, win 65535, options [mss 1460,nop,nop,sackOK], length 0

проверил - им доступ к 25 порту закрыт. таких абонентов есть несколько (5-7 шт)

что делать?

4 Ответ от crash

  • crash
  • Administrator
  • Неактивен
  • Зарегистрирован: 19-05-2005
  • Сообщений: 1,953
  • User Karma: 25

Re: Спам smtp через роутер

если им закрыт доступ, то они не могли отправлять письма, а значит из-за них не могли забанить.