C++ 2 Опубликовано: 2011-03-29 06:24:10 Share Опубликовано: 2011-03-29 06:24:10 Доброго времени суток. Имеется : - фирма на 50 ПК - Microtik-сервер версии 3.22 - все машини соединяются через NAT - провайдер Datagroup С последнего времени каждый день наш айпи (динамический) постоянно попадает в черный список спамхауса http://www.spamhaus.org/lookup.lasso. Я прихожу на роботу и сразу мне звонки идут что невозможно отправить почту через почтовые программы (theBat, Mozilla Thunderbird и т.д.) - в этих прогах мы используем исходящий сервер датагрупа-SMTP, я захожу на сайт вручную вывожу наш айпи с списка и через минут 20 все работает. С браузеров естественно отправлять все можно. И так длится каждый день уже вторую неделю. Звонил на Датагруп описывал проблему - они отхрестились говорят проверяйте свои ПК на вирусы - на большинстве машин стоит каспер на десятке стоит Microsoft Essential Security и ещё на парочке простые. В общем самые подозрительные проверил вебом CureIt и ничего не нашло. Роптали ещё что-то на счет наших внутренних адресов типа - они как-то прикрепляются к письмам а они есть запрещенные, у нас они 180.180.180.1-254 но не думаю что в этом дело. ИМХО В чем может быть проблема ? Возможно и есть где-то спам-бот - но как его найти побыстрее, или в чем другом проблема ? Есть ли в микротике какое-то логирование спама с внутренних айпи или маком чтобы идентифицировать машину зараженную... или дело вообще не в ПК а сервере датагрупа ? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-03-29 06:51:01 Share Опубліковано: 2011-03-29 06:51:01 была у меня аналогичная проблема, это вирусы однозначно. Я пока на серваке не запретил исходящие с 25 порта, проблема никак не решалась+грамотная настройка mail-сервера. Ссылка на сообщение Поделиться на других сайтах
C++ 2 Опубліковано: 2011-03-29 07:07:34 Автор Share Опубліковано: 2011-03-29 07:07:34 так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-03-29 07:19:42 Share Опубліковано: 2011-03-29 07:19:42 так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio. Ну так откройте 25 порт только в том направлении. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-03-29 07:22:54 Share Опубліковано: 2011-03-29 07:22:54 так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio. У меня на маил-сервере можно письма отправлять через защищенный 465-порт. Уточни у Даты, открыт ли у них этот порт. Ссылка на сообщение Поделиться на других сайтах
C++ 2 Опубліковано: 2011-03-29 07:23:07 Автор Share Опубліковано: 2011-03-29 07:23:07 А как точнее открыть порт в этом направлении ? И допустим если я это сделаю, но ВДРУГ таки есть этот СПАМ-БОТ где-то в сети на ПК, получается я мсогу с ним жить ? Боюсь что где-то зарыт зверек но найти его пролемно ... вот если бы в микротике в логах что-то найти Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2011-03-29 08:36:10 Share Опубліковано: 2011-03-29 08:36:10 А как точнее открыть порт в этом направлении ? И допустим если я это сделаю, но ВДРУГ таки есть этот СПАМ-БОТ где-то в сети на ПК, получается я мсогу с ним жить ? Боюсь что где-то зарыт зверек но найти его пролемно ... вот если бы в микротике в логах что-то найти 465 порт я открыл у себя на маил-сервере, спам-бот сидит у кого-то на машине - вычисляй ! попробуй прописать в бате на отправку 465-порт, если почта уйдет - отлично, и закрывай 25-порт. Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2011-03-29 10:40:01 Share Опубліковано: 2011-03-29 10:40:01 /ip firewall filter add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop comment="BLOCK SPAMMERS OR INFECTED USERS" add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers" полный мануал Ссылка на сообщение Поделиться на других сайтах
Magus 22 Опубліковано: 2011-03-29 12:25:44 Share Опубліковано: 2011-03-29 12:25:44 180.180.180.1-254 Круто, почему не 7.7.7.х, пафоса ж побольше? (сарказм) А потом, через пару недель, будут вопросы, а почему не открывается сайт нашего поставщика с Тайланда(в случае с 180.х.х.х). Многие клиенты добавляют в хедер айпи отправителя, например через X-Sender-IP. Если почтовый сервак(а точнее модуль спамасасина) увидит что к нему ломится клиент с айпы Х а в хедере айпи У, причём У не с прайват диапазона, то + к спам скор гарантирован. Есть 3 прайват диапазона...их выучить не сложно 192.168.0.0/16, 172.16.0.0/20, 10.0.0.0/8 Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубліковано: 2011-03-29 12:34:50 Share Опубліковано: 2011-03-29 12:34:50 172.16.0.0/20 172.16.0.0/12 Ссылка на сообщение Поделиться на других сайтах
Magus 22 Опубліковано: 2011-03-29 15:26:38 Share Опубліковано: 2011-03-29 15:26:38 172.16.0.0/20 172.16.0.0/12 Да, напортачил(помню 20 бит,что-то переглючило), спасибо что поправили. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас