 Домен попал в спамлист,  Lotta, 23-Дек-14, 15:47 [смотреть все]Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.
Вообщем несколько вопросов:
1. Как узнать причину по которой сервер попал в спам-листы?
2. Достаточно ли этих правил на интернет-шлюзе чтобы спам не отсылался с клиентских машин, если там есть вирусы? И работают ли они корректно, если они висят под одним номером? Или нужно для каждого правила свой номер присваивать?00001 46 12919 allow tcp from table(11) to me dst-port 25 keep-state
00001 0 0 deny log logamount 100000 tcp from table(10) to any dst-port 25
00001 0 0 allow tcp from table(11) to me dst-port 445 keep-state
00001 11 528 deny log logamount 100000 tcp from table(10) to any dst-port 445 3. Как собственно вытащить IP и домен с блек-листов UCEPROTECTL3, Spamhaus ZEN, CBL. Если есть человек, у которого есть 10-15 минут сводобного времени, я бы написал IP и название домена чтобы вы наглядно посмотрели. Может бы что-то подсказали. Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.
|
- Домен попал в спамлист, fantom, 16:02 , 23-Дек-14 (1)
>[оверквотинг удален]
> CBL.
> Если есть человек, у которого есть 10-15 минут сводобного времени, я бы
> написал IP и название домена чтобы вы наглядно посмотрели. Может бы
> что-то подсказали.
> Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.1. причина как правило рассылка спама :)
2.
2.1 последние 2 правила не относятся к почте.
2.2 таблица не полная, корректного ответа не существует. Когда приходит отбой - как правило в теле письма указывается причина и иногда напрямую указан блеклист, куда вас занесли.
http://www.dnsbl.info/dnsbl-database-check.php
- Домен попал в спамлист, Lotta, 16:41 , 23-Дек-14 (2)
>[оверквотинг удален]
>> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
>> detection systems use NTP for time synchronization, so the timestamp should
>> be accurate within one second.
> 1. причина как правило рассылка спама :)
> 2.
> 2.1 последние 2 правила не относятся к почте.
> 2.2 таблица не полная, корректного ответа не существует.
> Когда приходит отбой - как правило в теле письма указывается причина и
> иногда напрямую указан блеклист, куда вас занесли.
> http://www.dnsbl.info/dnsbl-database-check.php Спасибо за ответ. По этой ссылке IP сервера есть только на cbl.abuseat.org
К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18... Если тогда эти правила поменять на, где в таблице(11) будут ip, которым можно отсылать почту:
ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
ipfw add 00001 deny log logamount 100000 tcp from not me to any 25
Так будет правильно работать блокировка спама?
И увижу ли я при этих правилах по tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org они ругаются что с моего сервера туда идет спам?
- Домен попал в спамлист, fantom, 16:47 , 23-Дек-14 (3)
>[оверквотинг удален]
> К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18...
> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
> можно отсылать почту:
> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
> ipfw add 00001 deny log logamount 100000 tcp from not me to
> any 25
> Так будет правильно работать блокировка спама?
> И увижу ли я при этих правилах по tail -f /var/log/security ip
> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
> они ругаются что с моего сервера туда идет спам?малость ошибся...
- Домен попал в спамлист, Lotta, 16:50 , 23-Дек-14 (4)
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...В правилах? Или в команде по поиску пк, который спамит?
- Домен попал в спамлист, fantom, 16:51 , 23-Дек-14 (5)
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...Ну вроде так вы запретите все коннекты на 25 порт всем кроме себя, это блокировка вообще 25 порта и спама в том числе...
- Домен попал в спамлист, Lotta, 16:57 , 23-Дек-14 (6)
>[оверквотинг удален]
>>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>>> any 25
>>> Так будет правильно работать блокировка спама?
>>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>>> они ругаются что с моего сервера туда идет спам?
>> малость ошибся...
> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
> себя, это блокировка вообще 25 порта и спама в том числе... Хорошо. Тогда если вернутся к изначальным правилам: allow tcp from table(11) to me dst-port 25 keep-state
deny log logamount 100000 tcp from table(10) to any dst-port 25 смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109?
Или каким образом мне узнать кто именно спамит в сети?
- Домен попал в спамлист, pavel_simple, 17:04 , 23-Дек-14 (7) –2
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?хотите совет?
вот если нет у вас специалистов -- то и не нужно мучать попу. yandex предоставляет для небольших организаций вполне себе сервис в виде услуги "почта для домена" так вы решите проблему много быстрее, избавитесь от необходимости зависить от очередного кулсисопа который не способен сделать систему которая работает без его непосредственного участия. как вариант -- поспрашайте знакомых, может подскажут недорого знакомого спеца -- не нужно пытаться лезть в непрофильную тему -- это может выйти боком.
- Домен попал в спамлист, fantom, 17:06 , 23-Дек-14 (8)
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?deny log logamount 100000 tcp from table(10) to any dst-port 25
Вы запретили только из table(10) коннектиться куда угодно на 25 порт. Один из основных вопросов - вы уверены, что спам до сих пор отсылается???
Чтобы что-то увидеть вам надо поймать "всплеск", если эти правила присутствовали ранее - изучайте логи, вполне вероятно что наилучший выход - запретить всем и собрать статистику, проанализировать логи и попробовать вычислить зараженый комп...
Но как взможный вариант - рассылка состоялась, антивирь обновился, обнаружил вирус и грохнул... естественно при таком раскладе вы уже ничего не обнаружите...
- Домен попал в спамлист, belyj, 12:16 , 24-Дек-14 (9)
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.Kakoi spam? 216.66.15.109:80<?
- Домен попал в спамлист, belyj, 12:19 , 24-Дек-14 (10)
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.
> Kakoi spam? 216.66.15.109:80<?nmap vrode umejet v setke iskat`
http://www.sans.org/security-resources/idfaq/detecting-confi...
- Домен попал в спамлист, Дядя_Федор, 13:44 , 24-Дек-14 (11)
> Kakoi spam? 216.66.15.109:80<? Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник соединения с указанным IP во внутренней сети можно определить, запустив tcpdump на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net 216.66.15.0/24, как вариант)
- Домен попал в спамлист, universite, 15:27 , 07-Янв-15 (12)
>> Kakoi spam? 216.66.15.109:80<?
> Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник
> соединения с указанным IP во внутренней сети можно определить, запустив tcpdump
> на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i
> eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net
> 216.66.15.0/24, как вариант) Я бы еще порекомендовал поискать специалиста, а не заниматься обучением на работающих пользователях.
- Домен попал в спамлист, Lotta, 19:19 , 07-Янв-15 (13)
Всем спасибо. Уже вытащил со всех блеклистов. Остался только один Spamhaus ZEN на http://www.spamhaus.org/pbl.По той форме на их сайте пробовал убрать IP. Ввел институтскую почту, на неё пришел код. Ввел его. Написало что через 30 минут уберут. Но вот уже прошли праздники, а все еще не убрали. В чем там может быть проблема? Может знает кто-то?
|
Версия для распечатки
