Jump to content
Local
C++

IP попадает в чёрный список

Recommended Posts

Доброго времени суток.

Имеется :

- фирма на 50 ПК

- Microtik-сервер версии 3.22

- все машини соединяются через NAT

- провайдер Datagroup

С последнего времени каждый день наш айпи (динамический) постоянно попадает в черный список спамхауса http://www.spamhaus.org/lookup.lasso. Я прихожу на роботу и сразу мне звонки идут что невозможно отправить почту через почтовые программы (theBat, Mozilla Thunderbird и т.д.) - в этих прогах мы используем исходящий сервер датагрупа-SMTP, я захожу на сайт вручную вывожу наш айпи с списка и через минут 20 все работает. С браузеров естественно отправлять все можно. И так длится каждый день уже вторую неделю.

Звонил на Датагруп описывал проблему - они отхрестились говорят проверяйте свои ПК на вирусы - на большинстве машин стоит каспер на десятке стоит Microsoft Essential Security и ещё на парочке простые. В общем самые подозрительные проверил вебом CureIt и ничего не нашло. Роптали ещё что-то на счет наших внутренних адресов типа - они как-то прикрепляются к письмам а они есть запрещенные, у нас они 180.180.180.1-254 но не думаю что в этом дело. ИМХО

В чем может быть проблема ? Возможно и есть где-то спам-бот - но как его найти побыстрее, или в чем другом проблема ? Есть ли в микротике какое-то логирование спама с внутренних айпи или маком чтобы идентифицировать машину зараженную... или дело вообще не в ПК а сервере датагрупа ?

Share this post


Link to post
Share on other sites

была у меня аналогичная проблема, это вирусы однозначно. Я пока на серваке не запретил исходящие с 25 порта, проблема никак не решалась+грамотная настройка mail-сервера.

Share this post


Link to post
Share on other sites

так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio.

Share this post


Link to post
Share on other sites

так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio.

Ну так откройте 25 порт только в том направлении.

Share this post


Link to post
Share on other sites

так если я закрою 25 порт - кудой тогда будут отсылатся письма по СМТП ? 0_о и решит ли это проблему... + мейл сервера нету - используем внешний сервер фирмы Metastudio.

У меня на маил-сервере можно письма отправлять через защищенный 465-порт. Уточни у Даты, открыт ли у них этот порт.

Share this post


Link to post
Share on other sites

А как точнее открыть порт в этом направлении ? И допустим если я это сделаю, но ВДРУГ таки есть этот СПАМ-БОТ где-то в сети на ПК, получается я мсогу с ним жить ? :lol: Боюсь что где-то зарыт зверек но найти его пролемно ... вот если бы в микротике в логах что-то найти

Share this post


Link to post
Share on other sites

А как точнее открыть порт в этом направлении ? И допустим если я это сделаю, но ВДРУГ таки есть этот СПАМ-БОТ где-то в сети на ПК, получается я мсогу с ним жить ? :lol: Боюсь что где-то зарыт зверек но найти его пролемно ... вот если бы в микротике в логах что-то найти

465 порт я открыл у себя на маил-сервере, спам-бот сидит у кого-то на машине - вычисляй !

попробуй прописать в бате на отправку 465-порт, если почта уйдет - отлично, и закрывай 25-порт.

Share this post


Link to post
Share on other sites

/ip firewall filter

add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop comment="BLOCK SPAMMERS OR INFECTED USERS"

add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 action=add-src-to-address-list
address-list=spammer address-list-timeout=1d comment="Detect and add-list SMTP virus or spammers"

 

полный мануал

Share this post


Link to post
Share on other sites
180.180.180.1-254

 

Круто, почему не 7.7.7.х, пафоса ж побольше? (сарказм)

 

А потом, через пару недель, будут вопросы, а почему не открывается сайт нашего поставщика с Тайланда(в случае с 180.х.х.х).

 

Многие клиенты добавляют в хедер айпи отправителя, например через X-Sender-IP. Если почтовый сервак(а точнее модуль спамасасина) увидит что к нему ломится клиент с айпы Х а в хедере айпи У, причём У не с прайват диапазона, то + к спам скор гарантирован.

 

Есть 3 прайват диапазона...их выучить не сложно 192.168.0.0/16, 172.16.0.0/20, 10.0.0.0/8

Share this post


Link to post
Share on other sites

172.16.0.0/20

172.16.0.0/12

Да, напортачил(помню 20 бит,что-то переглючило), спасибо что поправили.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×