ISP Заблокированный порт 25 из-за спама

20

Основной вопрос:

Возможно ли быть зараженным программным обеспечением бота / спама на Ubuntu (или другом дистрибутиве)?

Детали:

Мой интернет-провайдер заблокировал мой порт 25 (и 465) для исходящих подключений (исходящие подключения из дома на удаленный сервер) в SMTP, поэтому я не могу использовать свои бизнес-адреса из дома прямо сейчас. Их аргументы в пользу блокирования меня: «из-за того, что вы отправляете спам», которого я нет, и они сказали мне, что если я не отправлю, то моя ОС, вероятно, заражена ...

Я могу использовать исчерпывающий список инструментов и руководств для проверки системы ( Ubuntu 13.10 14.04 64bit ) для любых инфильтратов / вредоносных программ / руткитов.

P.S.

  • У меня также установлен Windows 8.1 (64 бит), потому что мне также нравится игра на моем домашнем компьютере ... но это то, что я делаю только на Windows ... когда у меня есть время ...

  • Беспроводная связь отключена и даже если она находится на защищенном проходе.

  • Сканирование окон не выявило ничего и не должно было, так как там установлены окна и игры.

  • Я могу подключиться к другим портам для SMTP, но наш сервер использует 25 и что не может изменить

  • Я также тестировал подключение к порту 25 от windoze (используя thunderbird)

  • Я использую thunderbird для почтового клиента на ubuntu и проверял несколько других просто чтобы убедиться, что это не было неправильным составом thunderbird.

  • Telneting также выводит время ожидания подключения ...

EDIT: <Удар> Мой интернет-провайдер все еще отказывается разблокировать меня ... Возможно, мне придется открыть 587 на сервере, так как это не заблокировано на данный момент (я все еще могу использовать Gmail)

ИЗМЕНИТЬ 2:

Думаю, сегодня я был связан с другой техникой от поддержки моего провайдера и сказал мне, что от них нет блока ... Я был в ярости !!! Я не знаю, что было предыдущей технологией ... может быть, он новичок и читал по сценарию.

Итак, я протестировал другого интернет-провайдера через модем с моего телефона, и мне удалось отправить электронную почту через порт 25. По сути, я ничего не менял, только интернет-провайдер. Они издеваются надо мной? Может быть, техническая поддержка не знает, как интерпретировать то, что они смотрят на своих экранах для моей учетной записи, или может быть что-то еще?

Еще один шаг, который я предпринял, - полностью сбросить мой маршрутизатор до его настроек по умолчанию и получить еще один динамический IP-адрес. По-прежнему нет подключения к порту 25.

Я планирую получить использованный маршрутизатор от какого-то друга или что-то еще, чтобы протестировать его с другим маршрутизатором, чтобы убедиться, что проблема связана с моим провайдером.

ИЗМЕНИТЬ 3: Прошло некоторое время с момента моего последнего обновления этого вопроса. Я вернулся в свой старый дом (который находится в другой части страны), где у меня есть тот же интернет-провайдер. Та же компания! Мои настройки работают так, как ожидалось. Я могу отправлять электронные письма просто отлично, используя порт 25. Уверен, что проблема была в этом неприятном маршрутизаторе ZTE, который ISP раздаёт новым клиентам.

    
задан Petsoukos 25.03.2014 в 17:01
источник

6 ответов

32

Возможно ли это?

Почему не будет это? Ubuntu - действительно гибкая система, которая имеет множество проблем с большинством других операционных систем:

  • Программное обеспечение в Ubuntu может быть использовано
  • Вам не нужен root для запуска демона спама.
  • Люди могут взломать слабую аутентификацию.
  • Пользователи Ubuntu могут быть уверены в установке / запуске практически ничего.
  • Входящие, хакеры могут загружать / удалять-загружать больше программного обеспечения для отправки спама

Давайте просто реалистичный о безопасности здесь. Кросс-платформенный эксплойт Flash может легко перевести на загрузку капельницы и установить спам-демона, который запускается при входе в систему. Он не нуждается в корне.

Дважды проверьте историю интернет-провайдера

«Но мой провайдер не солгал бы мне!» сказал никогда . Многие домашние интернет-провайдеры обычно блокируют порт 25, а другие заставляют вас использовать их SMTP-серверы (это единственное исходящее соединение p25, которое они позволят).

Будучи модератором, я могу видеть ваш IP-адрес, и я проверил ваш домашний интернет-провайдер. Если вы укажете свое имя и «порт 25» или «smtp», вы увидите много других людей в подобных ситуациях. И у них есть центральный SMTP-сервер.

Я знаю, что вы сказали, что это новая проблема, но просто дважды проверьте, что это не ваш интернет-провайдер (или вам нужны правильные настройки на вашем интернет-провайдере). Обходной путь в конце должен по-прежнему работать для вас.

Поиск проблемы

Хотя возможно, я все еще не уверен, что это наиболее вероятная цель. Если вы похожи на меня, вы окружены подключенными к Интернету устройствами, и вам нужно посмотреть на них.

Я бы попросил у ISP некоторые доказательства. Временные отметки на минимальном минимуме, но было бы здорово увидеть, что они используют, чтобы убедиться, что это не автоматический флаг, не так.

  • Возможно, кто-то пометил рабочий адрес электронной почты с отделом злоупотребления ISP.
  • Вам нужно знать, какую ОС вы использовали в то время. Оба Ubuntu и Windows сохраняют журналы авторизации, поэтому сравнивают их с любыми доказательствами, которые они могут отправить вам.
  • Вывести исходящий порт 25 с помощью что-то , например:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Я честно не уверен, что это сработает, если вы уже заблокированы, но это того стоит. Различные брандмауэры Windows предлагают вам различные варианты ведения журнала.

  • Обратите внимание, что любое устройство в вашем соединении может отправлять электронную почту, а не только ваш компьютер. Телефоны, тостеры с поддержкой wifi, непослушные соседи и т. Д. Поиск того, что отправляет эту почту, может потребовать перехват пакетов и протоколирование сетевого уровня. Это все возможно, но это боль в тылу.

  • Как только вы исчерпали более вероятные пути, возьмите антивирусное программное обеспечение Linux , Я не могу лично говорить ни за кого из них, ни за их уровень обнаружения.

Работа с блоком сразу

Если вам нужно продолжить, самый простой способ переноса почты - это какое-то запутанное или зашифрованное соединение. Если у вас есть доступ к SSH-серверу (например, на работе), который часто может быть лучшим методом.

ssh -D9100 user@host

Затем просто измените почтовый клиент, чтобы использовать прокси-адрес SOCKS localhost , порт 9100 . Ваш интернет-провайдер не сможет вмешиваться в это, и я был бы очень удивлен, если все, что отправляет спам, может угадать конфигурацию SOCKS.

Что наиболее вероятно в этом случае ...?

Проверьте, можете ли вы отправлять электронную почту через SMTP-сервер своего интернет-провайдера. Я проверил, у вас есть один. Они могут заставить всех своих пользователей использовать его, поскольку это очень распространено. Техник поддержки может просто быть смущен.

Попросите другого пользователя (с другой учетной записью, на другой телефонной линии) попробовать подключиться к SMTP вашей компании. Это можно сделать быстро с помощью telnet example.com 25 .

  • Если они не могут подключиться, предположим, что это ISP-широкий, а не только ваша учетная запись, поэтому это, вероятно, не проблема безопасности ... Это просто то, с чем вы будете работать сверху или работать.

  • Если они могут подключиться, вы вернетесь к квадрату. В вашей сети было что-то, что отправило вам электронную почту, что привело к тому, что ваш интернет-провайдер заблокировал вас. Вирусные развертки, мониторинг трафика и паранойя - ваши лучшие друзья здесь.

ответ дан Oli 25.03.2014 в 17:54
источник
8

В Ubuntu возможно заражение и часть ботнета. Но это также действительно маловероятно.

Вы должны быть в состоянии спросить своего интернет-провайдера для своих записей. Они помогут вам найти проблему. Трудно диагностировать это отсюда, но у вашей беспроводной сети есть хорошие шансы на победу. Убедитесь, что вы используете WPA2 для обеспечения безопасности, и WPS отключен.

После того, как вы решите проблему и прекратите рассылку спама на некоторое время, вы, вероятно, можете поговорить с вашим интернет-провайдером о разблокировании портов.

    
ответ дан Javier Rivera 25.03.2014 в 17:57
5

Обычная практика заключается в блокировании исходящего порта 25, так как из-за проблем со спамом это отчасти обескураживает первоначальное представление электронной почты. Он по-прежнему используется между почтовыми серверами.

Правильный (и обычно не заблокированный) порт для отправки (оригинальной) электронной почты - это порт 587, так называемый порт представления. Почтовые провайдеры обычно поддерживают его, системные операторы обычно не блокируют его.

    
ответ дан fstd 26.03.2014 в 15:58
4

Многие интернет-провайдеры блокируют порты 25 и 80 для всех своих учетных записей. Я использую услугу веб-хостинга, которая включает службу электронной почты. они предоставляют мне smtp-сервер на нестандартном порту для исходящей электронной почты. Он работает везде. У вас может быть доступ к чему-то подобному. Подумайте о том, какие услуги у вас уже есть, и изучите их.

    
ответ дан Marc 25.03.2014 в 17:51
2

Многие другие ответы сосредоточены на том, кто использует ваш Wi-Fi или заражает ваши машины. Это возможно, но они не видят простейшего объяснения (бритва Оккама ...).

Вы, скорее всего, выступаете в качестве открытого реле, а это означает, что любой человек в мире может подключиться к вашей машине и просто попросить его куда-нибудь отправить почту, и вы это сделаете, никаких вопросов. Часто это связано с тем, что интернет-провайдеры блокируют вас, потому что это простой тест для них. Они сканируют свой IP-блок клиента и спрашивают что-либо на порту 25 для передачи тестового сообщения, и если вы это сделаете, вы являетесь спамером. Может быть, никто не использует ваше реле, но его простое существование достаточно для блокировки.

Чтобы проверить, являетесь ли вы открытым ретранслятором, telnet на ваш почтовый сервер и поговорите с ним. Жирным шрифтом являются те, которые вы вводите.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Строки, которые вы вводите, - это helo , mail from: и rcpt to: . Убедитесь, что вы используете адреса, которые не являются локальными для вас, оба должны быть удаленными хостами. Если вы не получите ошибку 554 relay denied , то вы неправильно настроили спам-шлюз и по праву заблокированы.

Самый простой способ исправить это - потребовать аутентификации для отправки почты через ваш MTA. Детали для установки этого зависят от используемой MTA, детали, которой нет в вашем вопросе.     

ответ дан casey 26.03.2014 в 21:46
0

Просто для того, чтобы у вас не было чего-то плохого в вашем Linux-боксе или сети.

Проверьте свою сеть

Начните с запуска этого на вашей машине Linux дома:

netstat -ta

В этом списке будут указаны все соединения tcp, которые либо установлены, либо прослушиваются (с серверами позади них). Если вы ничего не ожидаете, вам следует продолжить исследование.

Еще одна очень полезная команда, которая перечисляет все процессы с открытыми интернет-соединениями:

sudo lsof -i

(вам нужно будет установить пакет lsof .)

Обратите внимание, что приведенные выше тесты будут not охватывать другие устройства, использующие ваше интернет-соединение: телефон, планшеты, гаджеты с поддержкой Интернета, соседи по вашему соединению и т. д., как упомянул Оли. Если у вас есть список внутренних IP-адресов, вы можете запускать внешнее сканирование портов по каждому из них, один за другим, из вашего Linux-сервера:

sudo nmap <internal-ip-address>

(требуется пакет nmap ). Это может показать порты и службы, открытые на разных устройствах, о которых вы, возможно, и не подозреваете.

    
ответ дан arielf 29.03.2014 в 01:45