The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Домен попал в спамлист"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Блокирование спама и вирусов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Домен попал в спамлист"  +/
Сообщение от Lotta email(ok) on 23-Дек-14, 15:47 
Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.
Вообщем несколько вопросов:
1. Как узнать причину по которой сервер попал в спам-листы?
2. Достаточно ли этих правил на интернет-шлюзе чтобы спам не отсылался с клиентских машин, если там есть вирусы? И работают ли они корректно, если они висят под одним номером? Или нужно для каждого правила свой номер присваивать?

00001        46        12919 allow tcp from table(11) to me dst-port 25 keep-state
00001         0            0 deny log logamount 100000 tcp from table(10) to any dst-port 25
00001         0            0 allow tcp from table(11) to me dst-port 445 keep-state
00001        11          528 deny log logamount 100000 tcp from table(10) to any dst-port 445

3. Как собственно вытащить IP и домен с блек-листов UCEPROTECTL3, Spamhaus ZEN, CBL.

Если есть человек, у которого есть 10-15 минут сводобного времени, я бы написал IP и название домена чтобы вы наглядно посмотрели. Может бы что-то подсказали.

Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Домен попал в спамлист"  +/
Сообщение от fantom (ok) on 23-Дек-14, 16:02 
>[оверквотинг удален]
> CBL.
> Если есть человек, у которого есть 10-15 минут сводобного времени, я бы
> написал IP и название домена чтобы вы наглядно посмотрели. Может бы
> что-то подсказали.
> Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.

1. причина как правило рассылка спама :)
2.
   2.1 последние 2 правила не относятся к почте.
   2.2 таблица не полная, корректного ответа не существует.

Когда приходит отбой - как правило в теле письма указывается причина и иногда напрямую указан блеклист, куда вас занесли.


http://www.dnsbl.info/dnsbl-database-check.php

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Домен попал в спамлист"  +/
Сообщение от Lotta email(ok) on 23-Дек-14, 16:41 
>[оверквотинг удален]
>> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
>> detection systems use NTP for time synchronization, so the timestamp should
>> be accurate within one second.
> 1. причина как правило рассылка спама :)
> 2.
>    2.1 последние 2 правила не относятся к почте.
>    2.2 таблица не полная, корректного ответа не существует.
> Когда приходит отбой - как правило в теле письма указывается причина и
> иногда напрямую указан блеклист, куда вас занесли.
> http://www.dnsbl.info/dnsbl-database-check.php

Спасибо за ответ. По этой ссылке IP сервера есть только на cbl.abuseat.org
К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18...

Если тогда эти правила поменять на, где в таблице(11) будут ip, которым можно отсылать почту:
ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
ipfw add 00001 deny log logamount 100000 tcp from not me to any 25
Так будет правильно работать блокировка спама?
И увижу ли я при этих правилах по tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org они ругаются что с моего сервера туда идет спам?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Домен попал в спамлист"  +/
Сообщение от fantom (ok) on 23-Дек-14, 16:47 
>[оверквотинг удален]
> К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18...
> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
> можно отсылать почту:
> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
> ipfw add 00001 deny log logamount 100000 tcp from not me to
> any 25
> Так будет правильно работать блокировка спама?
> И увижу ли я при этих правилах по tail -f /var/log/security ip
> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
> они ругаются что с моего сервера туда идет спам?

малость ошибся...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Домен попал в спамлист"  +/
Сообщение от Lotta email(ok) on 23-Дек-14, 16:50 
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...

В правилах? Или в команде по поиску пк, который спамит?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Домен попал в спамлист"  +/
Сообщение от fantom (ok) on 23-Дек-14, 16:51 
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...

Ну вроде так вы запретите все коннекты на 25 порт всем кроме себя, это блокировка вообще 25 порта и спама в том числе...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Домен попал в спамлист"  +/
Сообщение от Lotta email(ok) on 23-Дек-14, 16:57 
>[оверквотинг удален]
>>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>>> any 25
>>> Так будет правильно работать блокировка спама?
>>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>>> они ругаются что с моего сервера туда идет спам?
>> малость ошибся...
> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
> себя, это блокировка вообще 25 порта и спама в том числе...

Хорошо. Тогда если вернутся к изначальным правилам:

allow tcp from table(11) to me dst-port 25 keep-state
deny log logamount 100000 tcp from table(10) to any dst-port 25

смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109?
Или каким образом мне узнать кто именно спамит в сети?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Домен попал в спамлист"  –2 +/
Сообщение от pavel_simple (ok) on 23-Дек-14, 17:04 
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?

хотите совет?
вот если нет у вас специалистов -- то и не нужно мучать попу. yandex предоставляет для небольших организаций вполне себе сервис в виде услуги "почта для домена"

так вы решите проблему много быстрее, избавитесь от необходимости зависить от очередного кулсисопа который не способен сделать систему которая работает без его непосредственного участия.

как вариант -- поспрашайте знакомых, может подскажут недорого знакомого спеца -- не нужно пытаться лезть в непрофильную тему -- это может выйти боком.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Домен попал в спамлист"  +/
Сообщение от fantom (ok) on 23-Дек-14, 17:06 
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?

deny log logamount 100000 tcp from table(10) to any dst-port 25
Вы запретили только из table(10) коннектиться куда угодно на 25 порт.

Один из основных вопросов - вы уверены, что спам до сих пор отсылается???
Чтобы что-то увидеть вам надо поймать "всплеск", если эти правила присутствовали ранее - изучайте логи, вполне вероятно что наилучший выход - запретить всем и собрать статистику, проанализировать логи и попробовать вычислить зараженый комп...
Но как взможный вариант - рассылка состоялась, антивирь обновился, обнаружил вирус и грохнул... естественно при таком раскладе вы уже ничего не обнаружите...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Домен попал в спамлист"  +/
Сообщение от belyj on 24-Дек-14, 12:16 
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.

Kakoi spam?  216.66.15.109:80<?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Домен попал в спамлист"  +/
Сообщение от belyj on 24-Дек-14, 12:19 
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.
> Kakoi spam?  216.66.15.109:80<?

nmap vrode umejet v setke iskat`
http://www.sans.org/security-resources/idfaq/detecting-confi...

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Домен попал в спамлист"  +/
Сообщение от Дядя_Федор on 24-Дек-14, 13:44 
> Kakoi spam?  216.66.15.109:80<?

Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник соединения с указанным IP во внутренней сети можно определить, запустив tcpdump на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net 216.66.15.0/24, как вариант)


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Домен попал в спамлист"  +/
Сообщение от universite email(ok) on 07-Янв-15, 15:27 
>> Kakoi spam?  216.66.15.109:80<?
>  Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник
> соединения с указанным IP во внутренней сети можно определить, запустив tcpdump
> на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i
> eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net
> 216.66.15.0/24, как вариант)

Я бы еще порекомендовал поискать специалиста, а не заниматься обучением на работающих пользователях.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Домен попал в спамлист"  +/
Сообщение от Lotta (ok) on 07-Янв-15, 19:19 
Всем спасибо. Уже вытащил со всех блеклистов. Остался только один Spamhaus ZEN на http://www.spamhaus.org/pbl.

По той форме на их сайте пробовал убрать IP. Ввел институтскую почту, на неё пришел код. Ввел его. Написало что через 30 минут уберут. Но вот уже прошли праздники, а все еще не убрали. В чем там может быть проблема? Может знает кто-то?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor