Через заблокований порт 25 провайдера через спам

20

Основне питання:

Чи навіть можливо заразитися програмним забезпеченням бота / спаму на Ubuntu (або будь-якому іншому дистрибутиві)?

Деталі:

~~Мій Інтернет-провайдер заблокував мій порт 25 (і 465) для вихідних з'єднань~~ (вихідні з'єднання, від дому до віддаленого сервера) до SMTP, тому я не можу зараз використовувати свої ділові електронні листи від дому. Їх міркування щодо блокування мене: "через те, що ти надсилаєш спам", чого я не є, і вони сказали мені, що якщо я не надсилаю, то моя ОС, ймовірно, заражена ...

Я міг би використовувати повний перелік інструментів та посібників для перевірки системи ( Ubuntu ~~13.10~~ 14.04 64bit ) на наявність інфільтратів / зловмисних програм / руткітів.

PS

У мене також встановлено Windows 8.1 (64bit) лише тому, що мені також подобається грати на домашньому комп’ютері ... але це те, що я роблю тільки в Windows ... коли встигаю ...
Бездротовий зв’язок вимкнено, навіть якщо він увімкнено, він захищений від проходу.
Сканування вікон не виявило нічого і не повинно, оскільки
там встановлені вікна та ігри.
Я можу підключитися до інших портів для SMTP, але наш сервер використовує 25, і це не може змінитися
Я також перевірив підключення до порту 25 від windoze (використовуючи thunderbird)
Я використовую thunderbird для клієнта електронної пошти в ubuntu і перевірив декілька інших, щоб переконатися, що це неправильна конфігурація thunderbird.
Telneting також виводить час очікування з'єднання ...

EDIT: Мій провайдер все ще відмовляється розблокувати мене ... Можливо, мені доведеться відкрити 587 на сервері, оскільки на даний момент він не заблокований (я все ще можу використовувати Gmail)

EDIT 2:

Я здогадуюсь, що сьогодні я зв’язався з іншим техніком за підтримки мого провайдера і сказав мені, що від них немає блоку ... Я був розлючений !!! Я не знаю, чим займався попередній технік ... можливо, він новий і читав із сценарію ..

Тож я протестував інший провайдер через прив’язку до свого телефону, і мені вдалося надсилати електронні листи через порт 25. По суті я нічого не змінив, лише провайдер. Вони жартують мене? Можливо, техпідтримка не знає, як інтерпретувати те, що вони шукають на своїх екранах для мого облікового запису, чи це може бути щось інше?

Ще один крок, який я зробив, - повністю скинути маршрутизатор до налаштувань за замовчуванням та отримати ще один динамічний IP-адресу. Все ще немає зв’язку з портом 25.

Я планую отримати використаний роутер від якогось друга або щось для тестування з іншим маршрутизатором, щоб переконатися, що проблема полягає в моєму провайдері.

EDIT 3: Минуло час з мого останнього оновлення цього питання. Я переїхав назад до свого старого будинку (який знаходиться в іншій частині країни), де у мене є той самий Інтернет-провайдер. Та сама компанія !! Мої настройки просто працюють так, як очікувалося. Я можу надсилати електронну пошту на відмінно, використовуючи порт 25. Я думаю, що проблема полягала в тому неприємному маршрутизаторі ZTE, який Інтернет-провайдер роздає новим клієнтам.

smtp

— Пецукос
джерело

Вам потрібно щось подібне до цього barracuda.com/products/spamfirewall, але вони дорогі

— Tasos

Можливо, ти запустив щось на кшталт nmap somehost/24 -p 25?

— d33tah

Окрім інших відповідей, ISP може робити те, що зараз робить більшість провайдерів - вони глобально блокують вихідний SMTP. Чи є у вашого провайдера сервер smtp, через який ви можете передати ретрансляцію? наприклад stmp. [isp.com]?

— jqa

1

Ви налаштували свій поштовий сервер, щоб він не передавав пошту з інших місць?

— Шадур

1

це світ людини, що працює з програмним забезпеченням, в кібер-світі все можливе, ОС не може бути захищеним, "вірус" - це лише назва програми, яка когось закодувала, ви, в основному, запитуєте "чи може чиясь програма працює на ubuntu "- КУРС!

— pythonian29033

32

Чи можливо це навіть?

Чому б цього не було? Ubuntu - це дійсно гнучка система, яка розділяє багато проблем з більшістю інших операційних систем:

Програмне забезпечення в Ubuntu можна експлуатувати
Вам не потрібен root для запуску демона спаму.
Люди можуть зламати слабку автентифікацію
Користувачів Ubuntu можна переконати в установці / запуску практично нічого
Після цього хакери можуть завантажувати / віддалено завантажувати більше програмного забезпечення для надсилання спаму

Давайте просто будемо реалістичні щодо безпеки тут. Експлуатація міжплатформних Flash може легко перетворитись на завантаження крапельниці та встановлення демона спаму, який працює на вході. Він не потребує кореня.

Двічі перевірте історію провайдера

"Але мій провайдер не бреше мені!" ніхто ніколи не сказав . Багато домашніх провайдерів зазвичай блокують порт 25, а інші змушують вас використовувати їх SMTP-сервери (це єдине вихідне з'єднання p25, яке вони дозволять).

Як модератор дозволяє мені бачити вашу IP-адресу, і я перевірив ваш домашній провайдер. Якщо ви google їх ім'я та "порт 25" або "smtp", ви побачите багато інших людей в подібних ситуаціях. І вони мають центральний сервер SMTP.

Я знаю, ви сказали, що це нова проблема, але лише двічі перевірте, чи не ваш провайдер (або потрібні правильні налаштування під час провайдера). Вирішення проблеми все-таки має працювати для вас.

Пошук проблеми

Хоча це можливо, я все ще не впевнений, що це найвірогідніша ціль. Якщо ви схожі на мене, вас оточують пристрої, підключені до Інтернету, і вам потрібно переглянути їх.

Я б почав із прохання провайдера про деякі докази. Часові позначки на мінімальному рівні, але було б чудово побачити, що вони використовують, щоб переконатися, що це не автоматичний прапор.

Можливо, хтось позначив робочий електронний лист у відділі зловживань провайдера.
Вам потрібно знати, яку ОС ви використовували в той час. І Ubuntu, і Windows зберігають журнали auth, тому порівнюйте їх з будь-якими доказами, які вони можуть надіслати вам.
Вхід вихідної порту 25 діяльності з чим - то на кшталт:
```
iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
```
Я, чесно кажучи, не впевнений, що це спрацює, якщо вас вже заблокували, але це варто зняти. Різні брандмауери Windows запропонують вам різні варіанти ведення журналу.
Зауважте, що будь-який пристрій вашого з'єднання може надсилати електронні листи, а не лише ваш комп’ютер. Телефони, тостери з підтримкою Wi-Fi, неслухняні сусіди тощо. Для пошуку того, що надсилає цей лист, може знадобитися перехоплення пакетів та ведення журналів на рівні мережі. Це все можливо, але це біль в тилу.
Після того, як ви вичерпали більш ймовірні шляхи, виберіть антивірусне програмне забезпечення Linux . Я не можу особисто говорити за будь-який із них або про рівень їх виявлення.

Робота навколо блоку негайно

Якщо вам потрібно продовжувати, найпростіший спосіб продовження надсилання електронної пошти - через якесь затуманене або зашифроване з'єднання. Якщо у вас є доступ до SSH-сервера (наприклад, на роботі), це часто може бути найкращим методом.

ssh -D9100 user@host

Тоді просто змініть клієнта електронної пошти для використання проксі-адреси SOCKS localhost, порту 9100. Ваш Інтернет-провайдер не зможе перешкоджати цьому, і я буду дуже здивований, якщо все, що надсилає спам, може вгадати конфігурацію SOCKS.

Що найімовірніше в цьому випадку ...?

Перевірте, чи можете ви надсилати електронну пошту через SMTP-сервер свого провайдера. Я перевірив, у вас є один. Вони, можливо, змушують усіх своїх користувачів використовувати це, як це дуже часто. Технічну службу може просто розгубити.

Попросіть іншого користувача (з іншим обліковим записом, на іншій телефонній лінії) спробувати підключитися до SMTP вашої компанії. Це можна швидко зробити telnet example.com 25.

Якщо вони не можуть підключитися, припустімо, що це все, що стосується ISP - це не лише ваш обліковий запис, так що, мабуть, це не проблема безпеки ... Це просто щось, з чим ви будете працювати або вирішувати.
Якщо вони можуть підключитися, ви знову на квадратній. Щось надсилало електронну пошту з вашої мережі, що призвело до того, що ваш Інтернет-провайдер заблокував вас. Захоплення вірусів, моніторинг руху та параноїя - ваші найкращі друзі тут.

— Олі
джерело

1

Дійсно, деякі провайдери просто блокують це як питання політики, так що це, швидше за все, тому вам слід попросити доказів. Якщо щось у вашій домашній мережі насправді надсилає проліт, знайти його не зовсім просто.

— psusi

Я прийму це як відповідь, оскільки містить корисну інформацію. Я перевірив свою установку Windows за допомогою різних інструментів сканування ... там нічого не було знайдено. Навіть не відстежуючи файли cookie ... Щодо моєї установки Ubuntu, я просто запустив інструмент rkhunter і нічого не знайшов ... (будь ласка, повідомте мені, чи є інші інструменти, які я можу спробувати для моєї конкретної ситуації)

— Petsoukos

@Petsoukos Я б, мабуть, віддав перевагу фактичному скануючому антивірусу, ніж подібному інструменту rkhunter. Можливо, я несправедливий, але я не зараховую їх до однієї ліги, як один одного.

— Олі

Ця відповідь не враховує можливості того, що він є ретранслятором відкритого спаму. Це хороша інформація, але може просто допомогти йому тримати доступ до своєї неправильно налаштованої машини.

— кейсі

@casey Я не приходжу до цього висновку з питання. Зовсім. Згадується про підключення до робочого сервера, який підтримує лише порт 25 ...

— Oli

8

Безумовно, можна заразитися і частиною ботнету в Ubuntu. Але це теж насправді насправді малоймовірно.

Ви повинні мати можливість запитати у свого провайдера про їх записи. Вони допоможуть вам знайти проблему. Діагностувати це звідси важко, але ваш бездротовий зв’язок має хороші шанси присвоїти винність. Переконайтеся, що ви використовуєте WPA2 для безпеки та WPS вимкнено.

Після того, як ви вирішите свою проблему і на деякий час перестанете надсилати спам, ви, можливо, зможете поговорити провайдера про розблокування ваших портів.

— Хав'єр Рівера
джерело

3

"Перевірте, чи ви використовуєте WPA." WEP та WPA є вразливими. Я б переконався, що ви працюєте з WPA2.

— MiniRagnarok

Я відредагував це, оскільки погоджуюся, що WPA2 є більш захищеним. Але AFAIK в WPA невідома відома вразливість, яка може дозволити вам підключитися до мережі (за винятком коротких паролів стискання або використання WPS для отримання пароля).

— Хав'єр Рівера

Моя технічна підтримка провайдера, ймовірно, не знає, про що я говорю, коли я з ними розмовляю ...

— Пецукос,

5

Це звичайна практика блокувати вихідний порт 25, оскільки через проблеми зі спамом, він відбився від оригіналу подання електронної пошти. Він все ще використовується між поштовими серверами.

Правильним (і, як правило, не заблокованим) портом для надсилання (оригіналу) електронної пошти є порт 587, так званий порт подання. Провайдери пошти зазвичай підтримують його, системні оператори зазвичай не блокують його.

— fstd
джерело

4

Багато провайдерів блокують порти 25 та 80 для всіх своїх облікових записів споживачів. Я використовую веб-хостинг, що включає сервіс електронної пошти. вони надають мені сервер smtp на нестандартному порті для вихідної електронної пошти. Він працює в будь-якому місці. Ви можете мати доступ до чогось подібного. Подумайте, які послуги у вас вже є, і дослідіть їх.

— Марк
джерело

2

Багато інших відповідей зосереджуються на тому, хто використовує ваш wifi або заражає ваші машини. Це можливо, але вони не помічають найпростіших пояснень (бритва Оккама ...).

Ви, швидше за все, виступаєте як відкрите реле, а це означає, що будь-хто у світі може підключитися до вашої машини і просто попросити її гарненько надіслати пошту кудись, і ви це зробите, без запитань. Це часто, чому провайдери будуть блокувати вас, тому що це простий тест. Вони скануватимуть ІР-блок свого клієнта і запитують що-небудь на порту 25, щоб передати тестове повідомлення, і якщо ви це зробите, ви спамер. Може статися так, що ніхто насправді не використовує вашу естафету, але її існування достатньо, щоб бути заблокованим.

Щоб перевірити, чи є ви відкритим реле, зверніться до свого поштового сервера і поговоріть з ним. Жирними лініями є ті, які ви вводите.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Лінії ви типу є helo, mail from:і rcpt to:лінії. Переконайтеся, що ви використовуєте не місцеві адреси, обидві повинні бути віддаленими хостами. Якщо ви не отримаєте помилку 554 relay denied, ви невірно налаштований шлюз спаму і його правильно заблокували.

Найпростіший спосіб усунути це - вимагати автентифікації для надсилання пошти через MTA. Деталі, щоб налаштувати це, залежать від використовуваного MTA, деталі якого немає у вашому запитанні.

— казеї
джерело

Я думаю, що в такому випадку у мене повинен бути встановлений поштовий сервер на домашній машині, якого я не маю. Правильно? Я не намагаюся надсилати з моєї машини як поштовий сервер, а краще підключитися до мого фактичного віддаленого (поза межами) сервера.

— Пецукос

0

Просто для того, щоб у вас не було нічого поганого, що працює на вашому Linux або мережі.

Перевірте свою мережу самостійно

Почніть із запуску цього на вашій машині Linux в домашніх умовах:

netstat -ta

Тут буде перераховано всі з'єднання tcp, які встановлені або прослуховуються (із серверами за ними). Якщо є щось, чого ви не очікуєте, вам слід дослідити далі.

Ще одна дуже корисна команда, яка перераховує всі процеси з підключеннями до Інтернету, які вони відкрили:

sudo lsof -i

(Вам потрібно буде встановити lsofпакет.)

Зауважте, що вищевказані тести не охоплюватимуть інших пристроїв, що обмінюються вашим Інтернет-з'єднанням: телефон, планшети, гаджети з підтримкою Інтернету, сусіди, котрі передають ваші підключення тощо, як згадував Олі. Якщо у вас є список ваших внутрішніх IP-адрес, ви можете запустити сканування зовнішнього порту для кожного з них, по одному, зі свого вікна Linux:

sudo nmap <internal-ip-address>

(вимагає nmapпакет). Це може виявити порти та служби, відкриті на різних пристроях, про які ви можете не знати.

— аріельф
джерело