Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.
Вообщем несколько вопросов:
1. Как узнать причину по которой сервер попал в спам-листы?
2. Достаточно ли этих правил на интернет-шлюзе чтобы спам не отсылался с клиентских машин, если там есть вирусы? И работают ли они корректно, если они висят под одним номером? Или нужно для каждого правила свой номер присваивать?00001 46 12919 allow tcp from table(11) to me dst-port 25 keep-state
00001 0 0 deny log logamount 100000 tcp from table(10) to any dst-port 25
00001 0 0 allow tcp from table(11) to me dst-port 445 keep-state
00001 11 528 deny log logamount 100000 tcp from table(10) to any dst-port 4453. Как собственно вытащить IP и домен с блек-листов UCEPROTECTL3, Spamhaus ZEN, CBL.
Если есть человек, у которого есть 10-15 минут сводобного времени, я бы написал IP и название домена чтобы вы наглядно посмотрели. Может бы что-то подсказали.
Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.
>[оверквотинг удален]
> CBL.
> Если есть человек, у которого есть 10-15 минут сводобного времени, я бы
> написал IP и название домена чтобы вы наглядно посмотрели. Может бы
> что-то подсказали.
> Проверил только-что на http://cbl.abuseat.org/lookup.cgi IP сервера и там выдало следующее:
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.1. причина как правило рассылка спама :)
2.
2.1 последние 2 правила не относятся к почте.
2.2 таблица не полная, корректного ответа не существует.Когда приходит отбой - как правило в теле письма указывается причина и иногда напрямую указан блеклист, куда вас занесли.
>[оверквотинг удален]
>> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
>> detection systems use NTP for time synchronization, so the timestamp should
>> be accurate within one second.
> 1. причина как правило рассылка спама :)
> 2.
> 2.1 последние 2 правила не относятся к почте.
> 2.2 таблица не полная, корректного ответа не существует.
> Когда приходит отбой - как правило в теле письма указывается причина и
> иногда напрямую указан блеклист, куда вас занесли.
> http://www.dnsbl.info/dnsbl-database-check.phpСпасибо за ответ. По этой ссылке IP сервера есть только на cbl.abuseat.org
К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18...Если тогда эти правила поменять на, где в таблице(11) будут ip, которым можно отсылать почту:
ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
ipfw add 00001 deny log logamount 100000 tcp from not me to any 25
Так будет правильно работать блокировка спама?
И увижу ли я при этих правилах по tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org они ругаются что с моего сервера туда идет спам?
>[оверквотинг удален]
> К примеру, с gmail.com возвращается с этой ссылкой в письме: http://support.google.com/mail/bin/answer.py?hl=en&answer=18...
> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
> можно отсылать почту:
> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
> ipfw add 00001 deny log logamount 100000 tcp from not me to
> any 25
> Так будет правильно работать блокировка спама?
> И увижу ли я при этих правилах по tail -f /var/log/security ip
> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
> они ругаются что с моего сервера туда идет спам?малость ошибся...
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...В правилах? Или в команде по поиску пк, который спамит?
>[оверквотинг удален]
>> Если тогда эти правила поменять на, где в таблице(11) будут ip, которым
>> можно отсылать почту:
>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>> any 25
>> Так будет правильно работать блокировка спама?
>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>> они ругаются что с моего сервера туда идет спам?
> малость ошибся...Ну вроде так вы запретите все коннекты на 25 порт всем кроме себя, это блокировка вообще 25 порта и спама в том числе...
>[оверквотинг удален]
>>> ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state
>>> ipfw add 00001 deny log logamount 100000 tcp from not me to
>>> any 25
>>> Так будет правильно работать блокировка спама?
>>> И увижу ли я при этих правилах по tail -f /var/log/security ip
>>> компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org
>>> они ругаются что с моего сервера туда идет спам?
>> малость ошибся...
> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
> себя, это блокировка вообще 25 порта и спама в том числе...Хорошо. Тогда если вернутся к изначальным правилам:
allow tcp from table(11) to me dst-port 25 keep-state
deny log logamount 100000 tcp from table(10) to any dst-port 25смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109?
Или каким образом мне узнать кто именно спамит в сети?
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?хотите совет?
вот если нет у вас специалистов -- то и не нужно мучать попу. yandex предоставляет для небольших организаций вполне себе сервис в виде услуги "почта для домена"так вы решите проблему много быстрее, избавитесь от необходимости зависить от очередного кулсисопа который не способен сделать систему которая работает без его непосредственного участия.
как вариант -- поспрашайте знакомых, может подскажут недорого знакомого спеца -- не нужно пытаться лезть в непрофильную тему -- это может выйти боком.
>[оверквотинг удален]
>>>> они ругаются что с моего сервера туда идет спам?
>>> малость ошибся...
>> Ну вроде так вы запретите все коннекты на 25 порт всем кроме
>> себя, это блокировка вообще 25 порта и спама в том числе...
> Хорошо. Тогда если вернутся к изначальным правилам:
> allow tcp from table(11) to me dst-port 25 keep-state
> deny log logamount 100000 tcp from table(10) to any dst-port 25
> смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается
> "ломится" на 216.66.15.109?
> Или каким образом мне узнать кто именно спамит в сети?deny log logamount 100000 tcp from table(10) to any dst-port 25
Вы запретили только из table(10) коннектиться куда угодно на 25 порт.Один из основных вопросов - вы уверены, что спам до сих пор отсылается???
Чтобы что-то увидеть вам надо поймать "всплеск", если эти правила присутствовали ранее - изучайте логи, вполне вероятно что наилучший выход - запретить всем и собрать статистику, проанализировать логи и попробовать вычислить зараженый комп...
Но как взможный вариант - рассылка состоялась, антивирь обновился, обнаружил вирус и грохнул... естественно при таком раскладе вы уже ничего не обнаружите...
Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.Kakoi spam? 216.66.15.109:80<?
> Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a
> conficker sinkhole) with a destination port 80, source port (for this
> detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our
> detection systems use NTP for time synchronization, so the timestamp should
> be accurate within one second.
> Kakoi spam? 216.66.15.109:80<?nmap vrode umejet v setke iskat`
http://www.sans.org/security-resources/idfaq/detecting-confi...
> Kakoi spam? 216.66.15.109:80<?Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник соединения с указанным IP во внутренней сети можно определить, запустив tcpdump на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net 216.66.15.0/24, как вариант)
>> Kakoi spam? 216.66.15.109:80<?
> Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник
> соединения с указанным IP во внутренней сети можно определить, запустив tcpdump
> на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i
> eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net
> 216.66.15.0/24, как вариант)Я бы еще порекомендовал поискать специалиста, а не заниматься обучением на работающих пользователях.
Всем спасибо. Уже вытащил со всех блеклистов. Остался только один Spamhaus ZEN на http://www.spamhaus.org/pbl.По той форме на их сайте пробовал убрать IP. Ввел институтскую почту, на неё пришел код. Ввел его. Написало что через 30 минут уберут. Но вот уже прошли праздники, а все еще не убрали. В чем там может быть проблема? Может знает кто-то?