Интернет-провайдер заблокировал порт 25 из-за спама

20

Главный вопрос:

Возможно ли даже быть зараженным ботом / спамом в Ubuntu (или любом другом дистрибутиве)?

Детали:

Мой интернет-провайдер заблокировал мой порт 25 (и 465) для исходящих подключений (исходящих подключений, от дома к удаленному серверу) к SMTP, поэтому я не могу сейчас использовать свою деловую электронную почту из дома. Их причина для блокирования меня: «из-за того, что вы отправляете спам», а я нет, и они сказали мне, что если я не отправляю, то моя ОС, вероятно, заражена ...

Я мог бы использовать полный список инструментов и руководств для проверки системы ( Ubuntu 13.10, 14.04, 64-битная версия ) на наличие любых проникновений, вредоносных программ и руткитов.

PS

  • У меня также установлена ​​Windows 8.1 (64-битная версия) только потому, что я люблю играть на своем домашнем компьютере ... но это то, что я делаю только на Windows ... когда у меня есть время ...

  • Беспроводная связь выключена, и даже если она включена, она защищена проходом.

  • Сканирование окон ничего не выявило и не должно было иметь, поскольку
    там установлены окна и игры.

  • Я могу подключиться к другим портам для SMTP, но наш сервер использует 25, и это не может измениться

  • Я также проверил подключение к порту 25 из windoze (используя Thunderbird)

  • Я использую Thunderbird для почтового клиента в Ubuntu и протестировал несколько других, чтобы убедиться, что это не было неправильной настройкой Thunderbird.

  • Telneting также выводит тайм-аут соединения ...

РЕДАКТИРОВАТЬ: мой провайдер по-прежнему отказывается разблокировать меня ... Может быть, мне придется открыть 587 на сервере, так как это не заблокировано в настоящее время (я все еще могу использовать Gmail)

РЕДАКТИРОВАТЬ 2:

Я думаю, что сегодня я был связан с другой технологией от поддержки моего провайдера и сказал мне, что от них нет блока ... Я был в ярости !!! Я не знаю, что делал предыдущий техник ... может, он новенький и читал по сценарию ...

Поэтому я проверил другого провайдера через модем со своего телефона, и мне удалось отправить электронную почту через порт 25. По сути, я ничего не изменил, только провайдер. Они шутят? Может быть, техподдержка не знает, как интерпретировать то, что они ищут на своих экранах для моей учетной записи, или это может быть что-то еще?

Еще один шаг, который я предпринял, состоял в том, чтобы полностью сбросить настройки маршрутизатора по умолчанию и получить другой динамический IP-адрес. По-прежнему нет подключения к порту 25.

Я планирую получить использованный маршрутизатор от какого-то друга или что-то еще для тестирования с другим маршрутизатором, просто чтобы убедиться, что проблема связана с моим провайдером.

РЕДАКТИРОВАТЬ 3: Прошло некоторое время с момента моего последнего обновления на этот вопрос. Я вернулся в свой старый дом (который находится в другой части страны), где у меня есть тот же интернет-провайдер. Та же компания !! Мои настройки просто работают как положено. Я могу нормально отправлять электронные письма, используя порт 25. Бьюсь об заклад, проблема была в том неприятном маршрутизаторе ZTE, который провайдер раздает новым клиентам.

Petsoukos
источник
Вам нужно что-то вроде этого barracuda.com/products/spamfirewall, но они дорогие
Tasos
Возможно, вы запустили что-то подобное nmap somehost/24 -p 25?
d33tah
В дополнение к другим ответам, интернет-провайдер может делать то, что сейчас делает большинство интернет-провайдеров - они глобально блокируют исходящий SMTP. У вашего провайдера есть SMTP-сервер, через который вы можете ретранслировать? например, stmp. [isp.com]?
JQA
1
Вы настроили свой почтовый сервер так, чтобы он не передавал почту из других мест?
Шадур
1
это мир программистов, в кибер-мире все возможно, ОС не могут стать неуязвимыми, «вирус» - это просто название программы, которую кто-то закодировал, вы в основном спрашиваете «может ли чья-то программа работать на убунту "- конечно!
pythonian29033

Ответы:

32

Это вообще возможно?

Почему бы не быть? Ubuntu - действительно гибкая система, которая разделяет многие проблемы с большинством других операционных систем:

  • Программное обеспечение в Ubuntu может быть использовано
  • Вам не нужен root для запуска демона спама.
  • Люди могут взломать слабую аутентификацию
  • Пользователи Ubuntu могут быть уверены, что установят / запустят практически все
  • После этого хакеры могут загружать / удаленно загружать больше программного обеспечения для рассылки спама.

Давайте просто будем реалистичными в отношении безопасности здесь. Кроссплатформенный эксплойт Flash может легко привести к загрузке дроппера и установке демона спама, который запускается при входе в систему. Ему не нужен root.

Дважды проверьте историю провайдера

«Но мой провайдер не соврал бы мне!» никто никогда не говорил . Многие домашние интернет-провайдеры обычно блокируют порт 25, а другие вынуждают вас использовать их SMTP-серверы (это единственное исходящее соединение p25, которое они разрешат).

Будучи модератором, я вижу ваш IP, и я проверил вашего домашнего провайдера. Если вы гуглите их имя и «порт 25» или «smtp», вы увидите много других людей в подобных ситуациях. И у них есть центральный SMTP-сервер.

Я знаю, что вы сказали, что это новая проблема, но просто дважды проверьте, что это не ваш провайдер (или нуждаются в правильных настройках в то время как на вашем провайдере). Обход в конце все равно должен работать для вас.

Нахождение проблемы

Хотя возможно, я все еще не уверен, что это наиболее вероятная цель. Если вы похожи на меня, вы окружены подключенными к Интернету устройствами, и вам нужно посмотреть на них все.

Я бы начал с того, чтобы попросить интернет-провайдера предоставить некоторые доказательства. Временные метки минимальны, но было бы здорово увидеть, что они используют, чтобы убедиться, что это не неправильный автоматический флаг.

  • Возможно, кто-то пометил рабочее письмо с отделом злоупотреблений интернет-провайдера.
  • Вам нужно знать, какую ОС вы использовали в то время. И Ubuntu, и Windows ведут журналы авторизации, поэтому сравните их со всеми доказательствами, которые они могут вам отправить.
  • Журнал активности исходящего порта 25 с чем-то вроде:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Я честно не уверен, сработает ли это, если вы уже заблокированы, но это стоит попробовать. Различные брандмауэры Windows предложат вам различные варианты ведения журнала.

  • Обратите внимание, что любое устройство в вашем соединении может отправлять электронную почту, а не только ваш компьютер. Телефоны, тостеры с поддержкой Wi-Fi, непослушные соседи и т. Д. Нахождение того, что отправляет эту почту, может потребовать перехвата пакетов и регистрации на уровне сети. Это все возможно, но это боль в тылу.

  • Как только вы исчерпали более вероятные пути, выберите антивирусное программное обеспечение Linux . Я не могу лично говорить за кого-либо из них или их уровень обнаружения.

Работать вокруг блока немедленно

Если вам нужно продолжить, самый простой способ продолжить отправку электронной почты - через какое-то зашифрованное или зашифрованное соединение. Если у вас есть доступ к SSH-серверу (например, на работе), это часто может быть лучшим способом.

ssh -D9100 user@host

Затем просто измените свой почтовый клиент на использование прокси-адреса SOCKS localhost, порта 9100. Ваш интернет-провайдер не сможет помешать этому, и я был бы очень удивлен, если бы кто-либо, рассылающий спам, мог угадать конфигурацию SOCKS.

Что наиболее вероятно в этом случае ...?

Проверьте, можете ли вы отправлять электронную почту через SMTP-сервер вашего провайдера. Я проверил, у вас есть один. Возможно, они заставляют всех своих пользователей использовать его, поскольку это очень распространено. Сотрудник службы технической поддержки может быть просто сбит с толку.

Попросите другого пользователя (с другой учетной записью, на другой телефонной линии) попытаться подключиться к SMTP вашей компании. Это может быть сделано быстро с telnet example.com 25.

  • Если они не могут подключиться, предположим, что это интернет-провайдер, а не только ваша учетная запись, так что, вероятно, это не проблема безопасности ... Это просто то, с чем вам лучше всего работать или обходиться.

  • Если они смогут соединиться, вы вернетесь на круги своя. Было что-то, что отправляло электронное письмо из вашей сети, что заставило вашего интернет-провайдера заблокировать вас. Вирусная очистка, мониторинг трафика и паранойя - ваши лучшие друзья здесь.

Оли
источник
1
Действительно, некоторые интернет-провайдеры просто блокируют это как политический вопрос, так что это наиболее вероятно, и поэтому вы должны попросить доказательства. Если что-то в вашей домашней сети на самом деле отправляет промежуток, найти его не совсем просто.
psusi
Я приму это как ответ, так как он содержит полезную информацию. Я проверил установку Windows с помощью различных инструментов сканирования ... ничего не нашел. Даже не отслеживаю куки ... Что касается моей установки Ubuntu, я просто запустил инструмент rkhunter и ничего не нашел ... (пожалуйста, дайте мне знать, если есть другие инструменты, которые я могу попробовать для моей конкретной ситуации)
Petsoukos
@Petsoukos Я бы предпочел использовать антивирус для сканирования, а не как инструмент rkhunter. Возможно, я несправедливо, но я не считаю их в одной лиге друг с другом.
Оли
Этот ответ не учитывает вероятность того, что он является открытой рассылкой спама. Это хорошая информация, но, возможно, она просто помогает ему сохранить доступ к своей неправильно настроенной машине.
Кейси
@ casey Я не могу прийти к такому выводу из вопроса. Вообще. В нем упоминается подключение к рабочему серверу, который поддерживает только порт 25 ...
Oli
8

Конечно, возможно заражение и участие в ботнете в Ubuntu. Но это также действительно маловероятно.

Вы должны иметь возможность обратиться к своему провайдеру за их записями. Они помогут вам найти проблему. Это трудно диагностировать отсюда, но у вашего беспроводного устройства есть все шансы возместить ущерб. Пожалуйста, убедитесь, что вы используете WPA2 для безопасности и WPS отключен.

После того, как вы решите свою проблему и на некоторое время перестанете посылать спам, вы, вероятно, сможете убедить своего интернет-провайдера разблокировать порты.

Хавьер Ривера
источник
3
«Пожалуйста, убедитесь, что вы используете WPA». WEP и WPA уязвимы. Я бы удостоверился, что вы используете WPA2.
MiniRagnarok
Я отредактировал его, поскольку я согласен с тем, что WPA2 более безопасен. Но в AFAIK не существует известной уязвимости, известной в WPA, которая может позволить вам подключаться к сети (если не использовать грубые короткие пароли или использование WPS для получения пароля).
Хавьер Ривера
Моя техническая поддержка интернет-провайдера, вероятно, не знает, о чем я говорю, когда говорю с ними ...
Petsoukos
5

Обычной практикой является блокировка исходящего порта 25, так как из-за проблем со спамом он как бы не поощряется для первоначальной отправки электронной почты. Это все еще используется между почтовыми серверами.

Подходящим (и обычно не заблокированным) портом для отправки (оригинальной) электронной почты является порт 587, так называемый порт отправки. Почтовые провайдеры обычно поддерживают это, системные операторы обычно не блокируют это.

FSTD
источник
4

Многие интернет-провайдеры блокируют порты 25 и 80 для всех своих учетных записей. Я использую веб-хостинг, который включает в себя почтовый сервис. они предоставляют мне SMTP-сервер на нестандартный порт для исходящей электронной почты. Это работает где угодно. Вы вполне можете иметь доступ к чему-то похожему. Подумайте о том, какие услуги у вас уже есть, и изучите их.

Марк
источник
2

Многие другие ответы касаются кого-то, кто использует ваш wifi или заражает ваши машины. Это возможно, но они упускают из виду самое простое объяснение (бритва Оккама ...).

Скорее всего, вы действуете как открытый ретранслятор, а это значит, что любой человек в мире может подключиться к вашему компьютеру и просто попросить его отправить письмо куда-нибудь, и вы сделаете это, не задавая вопросов. Именно поэтому интернет-провайдеры будут блокировать вас, потому что это простой тест для них. Они просканируют свой IP-блок клиента и попросят что-нибудь на порту 25 передать тестовое сообщение, и если вы это сделаете, вы спамер. Может случиться так, что никто не использует ваше реле, но его простое существование достаточно, чтобы быть заблокированным.

Чтобы проверить, являетесь ли вы открытым ретранслятором, telnet на ваш почтовый сервер и поговорите с ним. Жирные линии - это те, которые вы печатаете.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Линии, которые вы вводите, являются helo, mail from:и rcpt to:линии. Убедитесь, что вы используете адреса, которые не являются локальными для вас, оба должны быть удаленными хостами. Если вы не получили сообщение об ошибке 554 relay denied, значит, вы неправильно настроили спам-шлюз и по праву заблокированы.

Самый простой способ исправить это - потребовать аутентификацию для отправки почты через ваш MTA. Детали для настройки этого зависят от MTA, который вы используете, детали, которой нет в вашем вопросе.

Casey
источник
Я думаю, что в этом случае на моем домашнем компьютере должен быть установлен почтовый сервер, чего я не делаю. Правильный? Я не пытаюсь отправлять сообщения со своего компьютера в качестве почтового сервера, а подключаюсь к моему фактическому удаленному (удаленному) серверу.
Petsoukos
0

Просто чтобы убедиться, что на вашем Linux-компьютере или в сети не работает что-то плохое.

Проверьте свою сеть самостоятельно

Начните с запуска этого на своей Linux-машине дома:

netstat -ta

Это перечислит все соединения tcp, которые или установлены или прослушивают (с серверами позади них). Если есть что-то, чего вы не ожидаете, вам следует продолжить расследование.

Другая очень полезная команда, которая бы перечисляла все процессы с подключениями к Интернету, которые они держали открытыми:

sudo lsof -i

(вам нужно будет установить lsofпакет.)

Обратите внимание, что вышеприведенные тесты не будут охватывать другие устройства, использующие ваше интернет-соединение: телефон, планшеты, гаджеты с интернет-подключением, соседи, использующие ваше соединение и т. Д., Как упоминал Оли. Если у вас есть список ваших внутренних IP-адресов, вы можете запустить внешнее сканирование портов для каждого из них, один за другим, из своего блока Linux:

sudo nmap <internal-ip-address>

(требуется nmapпакет). Это может показать порты и службы, открытые на различных устройствах, о которых вы можете не знать.

arielf
источник