ISP Zablokowano port 25 z powodu spamowania

20

Główne pytanie:

Czy można nawet zostać zainfekowanym przez oprogramowanie do botowania / spamowania na Ubuntu (lub jakiejkolwiek innej dystrybucji)?

Szczegóły:

Mój ISP zablokował mój port 25 (i 465) dla połączeń wychodzących (połączenia wychodzące, z domu na serwer zdalny) do SMTP, więc nie mogę teraz używać moich firmowych e-maili z domu. Ich argumentacja za blokowaniem mnie brzmi: "z powodu wysyłania spamu", którym nie jestem i powiedzieli mi, że jeśli nie wysyłam, to mój system operacyjny jest prawdopodobnie zainfekowany ...

Mogę użyć obszernej listy narzędzi i przewodników do sprawdzenia systemu ( Ubuntu 13.10 14.04 64bit ) w przypadku wszelkich infiltracji / złośliwego oprogramowania / rootkitów.

P.S.

  • Mam też zainstalowany system Windows 8.1 (64-bitowy) tylko dlatego, że również lubię gra na moim domowym komputerze ... ale to właśnie robię tylko Windows ... kiedy mam czas ...

  • Połączenie bezprzewodowe jest wyłączone i nawet jeśli jest chronione hasłem.

  • Skanowanie okien nie ujawniło niczego ani nie powinno mieć od
    tam są zainstalowane okna i gry.

  • Mogę połączyć się z innymi portami dla SMTP, ale nasz serwer używa 25 i tego nie można zmienić

  • Testowałem także połączenie z portem 25 z windoze (używając thunderbirda)

  • Używam thunderbirda dla klienta pocztowego na Ubuntu i testowałem kilka innych tylko po to, by sprawdzić, czy to nie była błędna konfiguracja thunderbirda.

  • Telneting wyprowadza także limit czasu połączenia ...

EDYCJA: Mój ISP wciąż odmawia odblokowania ... Może będę musiał otworzyć 587 na serwerze, ponieważ nie jest to w tej chwili zablokowane (nadal mogę korzystać z Gmaila)

EDIT 2:

Sądzę, że dzisiaj byłem podłączony do innej technologii od wsparcia mojego ISP i powiedziałem, że od nich nie ma bloku ... Byłem wściekły !!! Nie wiem, co robił wcześniejszy technik ... może jest nowy i czytał ze scenariusza ...

Więc przetestowałem innego dostawcę usług internetowych przez tethering z mojego telefonu i udało mi się wysłać e-maile przez port 25. Zasadniczo niczego nie zmieniłem, tylko ISP. Żartują sobie ze mnie? Może wsparcie techniczne nie wie, jak interpretować to, co widzą na swoim ekranie dla mojego konta, czy może to być coś innego?

Kolejnym krokiem było całkowite zresetowanie routera do jego domyślnych ustawień i uzyskanie kolejnego dynamicznego adresu IP. Nadal nie ma połączenia z portem 25.

Planuję uzyskać od pewnego znajomego używanego routera lub coś w celu przetestowania z innym routerem tylko po to, aby upewnić się, że problem leży po stronie mojego usługodawcy internetowego.

EDIT 3: Minęło trochę czasu od mojej ostatniej aktualizacji tego pytania. Wróciłem do mojego starego domu (który znajduje się w innej części kraju), w którym mam tego samego dostawcę internetu. Ta sama firma !! Moje ustawienia działają zgodnie z oczekiwaniami. Mogę wysyłać e-maile dobrze, używając portu 25. Założę się, że problem dotyczył tego paskudnego routera ZTE, który ISP przekazuje nowym klientom.

    
zadawane Petsoukos 25.03.2014, 17:01
źródło

6 odpowiedzi

32

Czy to możliwe?

Dlaczego nie to prawda? Ubuntu to bardzo elastyczny system, który ma wiele problemów z większością innych systemów operacyjnych:

  • Oprogramowanie w Ubuntu można wykorzystać
  • Nie potrzebujesz root'a, aby uruchomić demona spamu.
  • Ludzie mogą złamać słabe uwierzytelnianie
  • Użytkownicy Ubuntu mogą być przekonani do instalacji / uruchamiania prawie wszystkiego
  • Po wejściu hakerzy mogą przesłać / zdalnie pobrać więcej programów do wysyłania spamu

Po prostu bądźmy realistyczni o bezpieczeństwie tutaj. Wieloplatformowy exploit Flash można łatwo przetłumaczyć na ładowanie przez droppera i instalację demona spamu, który uruchamia się podczas logowania. Nie potrzebuje root'a.

Dokładnie sprawdź historię dostawcy Internetu

"Ale mój ISP nie okłamałby mnie!" powiedział, że nikt nigdy . Wielu krajowych dostawców usług internetowych zazwyczaj blokuje port 25, a inni zmuszają Cię do korzystania z serwerów SMTP (to jedyne wyjście wychodzące na p25, na które pozwalają).

Bycie moderatorem pozwala mi zobaczyć twoje IP i sprawdziłem twojego domowego dostawcę Internetu. Jeśli podasz Google swoją nazwę i "port 25" lub "smtp", zobaczysz wiele innych osób w podobnych sytuacjach. I mają centralny serwer SMTP.

Wiem, że powiedziałeś, że to nowy problem, ale po prostu sprawdź, czy to nie jest twój dostawca internetu (lub potrzebuje odpowiednich ustawień na twoim ISP). Obejście problemu na końcu powinno nadal działać.

Znalezienie problemu

Choć jest to możliwe, nadal nie jestem pewien, czy jest to najbardziej prawdopodobny cel. Jeśli jesteś podobny do mnie, jesteś otoczony przez podłączone do internetu urządzenia i musisz na nie spojrzeć.

Zacznę od zapytania ISP o kilka dowodów. Znaczniki czasu w absolutnym minimum, ale byłoby wspaniale zobaczyć, czego używają, aby upewnić się, że to nie automatyczna flaga zepsuła się.

  • Możliwe, że ktoś oznaczył służbowy adres e-mail w dziale nadużyć usługodawcy internetowego.
  • Musisz wiedzieć, z jakiego systemu operacyjnego korzystałeś w danym momencie. Zarówno system Ubuntu, jak i system Windows przechowują dzienniki autoryzacji, aby porównać je z wszelkimi dowodami, które mogą przesłać.
  • Wyloguj aktywność wychodzącego portu 25 za pomocą czegoś , takiego jak:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Szczerze mówiąc nie jestem pewien, czy to zadziała, jeśli jesteś już zablokowany, ale warto spróbować. Różne zapory systemu Windows oferują różne opcje rejestrowania.

  • Pamiętaj, że każde urządzenie w Twoim połączeniu może wysyłać wiadomości e-mail, a nie tylko Twój komputer. Telefony, tostery obsługujące technologię Wi-Fi, niegrzeczni sąsiedzi itd. Znalezienie tego, co wysyła tę pocztę, może wymagać przechwycenia i zalogowania pakietów na poziomie sieci. To wszystko jest możliwe, ale to ból z tyłu.

  • Po wyczerpaniu bardziej prawdopodobnych dróg wybierz oprogramowanie antywirusowe dla systemu Linux . Nie mogę osobiście mówić o żadnym z nich ani o ich wykrywalności.

Natychmiastowe obejście bloku

Jeśli chcesz kontynuować, najprostszym sposobem na kontynuowanie wysyłania wiadomości e-mail jest zakodowane lub zaszyfrowane połączenie. Jeśli masz dostęp do serwera SSH (np. W pracy), który często może być najlepszą metodą.

ssh -D9100 user@host

Następnie po prostu zmień swojego klienta pocztowego, aby używał adresu proxy SOCKS localhost , port 9100 . Twój dostawca Internetu nie będzie w stanie przeszkadzać w tym i byłbym bardzo zaskoczony, jeśli cokolwiek wysyła spam, może odgadnąć konfigurację SOCKS.

Co jest najbardziej prawdopodobne w tym przypadku ...?

Sprawdź, czy możesz wysyłać wiadomości e-mail za pośrednictwem serwera SMTP usługodawcy internetowego. Sprawdziłem, twój ma jeden. Mogą zmusić wszystkich użytkowników do korzystania z niego, ponieważ jest to bardzo częste. Osoba pomocy technicznej może być po prostu zagubiona.

Poproś innego użytkownika (z innego konta, na inną linię telefoniczną), aby spróbował połączyć się z SMTP swojej firmy. Można to zrobić szybko za pomocą telnet example.com 25 .

  • Jeśli nie mogą się połączyć, załóżmy, że to jest ISP - nie tylko twoje konto - więc prawdopodobnie nie jest to problem związany z bezpieczeństwem ... To jest coś, z czym będziesz pracować lub pracować.

  • Jeśli można połączyć, wrócisz do pierwszej części. Nie było coś wysyłania wiadomości e-mail z sieci, które spowodowało twój ISP do blokowania Ciebie. Tresowanie wirusów, monitorowanie ruchu i paranoja to twoi najlepsi przyjaciele.

odpowiedział Oli 25.03.2014, 17:54
źródło
8

Z pewnością możliwe jest zainfekowanie botnetu i jego część w Ubuntu. Ale jest to również naprawdę mało prawdopodobne.

Powinieneś być w stanie poprosić swojego usługodawcę internetowego o ich zapisy. Pomogą ci znaleźć problem. Trudno to zdiagnozować z tego miejsca, ale twoja sieć bezprzewodowa ma duże szanse na to, że stanie się winowajcą. Sprawdź, czy korzystasz z WPA2 dla bezpieczeństwa i WPS jest wyłączone.

Po rozwiązaniu problemu i zaprzestaniu wysyłania spamu przez pewien czas prawdopodobnie porozmawiasz z usługodawcą internetowym o odblokowaniu portów.

    
odpowiedział Javier Rivera 25.03.2014, 17:57
źródło
5

Powszechną praktyką jest blokowanie wychodzącego portu 25, ponieważ ze względu na obawy związane ze spamowaniem zniechęcało ono do oryginalnego przesyłania wiadomości e-mail. Nadal jest używany między serwerami poczty.

Właściwym (i zazwyczaj niezablokowanym) portem do przesyłania (oryginalnego) e-maila jest port 587, tak zwany port przesyłania. Dostawcy pocztowi zwykle go wspierają, operatorzy systemów zazwyczaj tego nie blokują.

    
odpowiedział fstd 26.03.2014, 15:58
źródło
4

Wielu dostawców usług internetowych blokuje porty 25 i 80 dla wszystkich swoich kont konsumenckich. Korzystam z usługi hostingu, która obejmuje usługę poczty e-mail. dostarczają mi serwer SMTP na niestandardowym porcie wychodzących wiadomości e-mail. Działa wszędzie. Możesz mieć dostęp do czegoś podobnego. Zastanów się, jakie usługi już masz i zbadaj je.

    
odpowiedział Marc 25.03.2014, 17:51
źródło
2

Wiele innych odpowiedzi dotyczy osoby korzystającej z WiFi lub infekującej komputery. Są one możliwe, ale pomijają najprostsze wyjaśnienie (brzytwa Occam ...).

Najprawdopodobniej działasz jako przekaźnik otwarty, co oznacza, że ​​każdy na świecie może połączyć się z Twoją maszyną i po prostu poprosić o ładnie, aby wysłać wiadomość gdzieś, a zrobisz to bez żadnych pytań. To często powoduje, że dostawcy usług internetowych blokują Cię, ponieważ jest to dla nich prosty test. Będą skanować swój blok adresów IP klienta i poprosić o cokolwiek na porcie 25, aby przekazać wiadomość testową, a jeśli to zrobisz, jesteś spamerem. Może się zdarzyć, że nikt nie używa twojego przekaźnika, ale samo jego istnienie wystarczy, aby zostać zablokowanym.

Aby przetestować, czy jesteś otwartym przekaźnikiem, telnet do serwera poczty i porozmawiaj z nim. Pogrubione wiersze to te, które wpisujesz.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Napisane linie to helo , mail from: i rcpt to: linii. Upewnij się, że używasz adresów, które nie są dla ciebie lokalne, muszą być zdalnymi hostami. Jeśli nie otrzymasz błędu 554 relay denied , oznacza to nieprawidłowo skonfigurowaną bramkę spamu i prawidłowo zablokowaną.

Najprostszym sposobem rozwiązania tego problemu jest żądanie uwierzytelnienia w celu wysłania poczty za pośrednictwem MTA. Szczegóły, które należy skonfigurować, zależą od używanego MTA, którego nie ma w Twoim pytaniu.

    
odpowiedział casey 26.03.2014, 21:46
źródło
0

Tylko po to, aby upewnić się, że na twoim Linux-ie lub w sieci nie działa coś złego.

Sprawdź swoją sieć samodzielnie

Zacznij od uruchomienia tego na swoim komputerze z systemem Linux w domu:

netstat -ta

Wyświetli listę wszystkich połączeń TCP, które są ustanowione lub nasłuchują (z serwerami za nimi). Jeśli jest coś, czego się nie spodziewasz, powinieneś zbadać dalej.

Kolejną bardzo użyteczną komendą, która wyświetli listę wszystkich procesów z otwartymi połączeniami internetowymi jest:

sudo lsof -i

(będziesz musiał zainstalować pakiet lsof .)

Zauważ, że powyższe testy nie dotyczą innych urządzeń współdzielących Twoje połączenie internetowe: telefonu, tabletów, gadżetów internetowych, sąsiadów podłączonych do twojego połączenia itp., jak wspomniała Oli. Jeśli masz listę swoich wewnętrznych adresów IP, możesz uruchomić zewnętrzny port-scan na każdym z nich, jeden po drugim, z twojego Linux-a:

sudo nmap <internal-ip-address>

(wymaga pakietu nmap ). Może ujawnić otwarte porty i usługi na różnych urządzeniach, których możesz nie znać.

    
odpowiedział arielf 29.03.2014, 01:45
źródło

Przeczytaj inne pytania na temat tagów