Spamlistara kerules

Hálózatok általános

HalI!
Adott egy ceg, kb. 10 dolgozo, Exchange szerver egy Lenny tuzfal mogott (amin postfix is fut, mailproxy szerepben)

Nos, ket napig nem tudtak levelet kuldeni (vagy nehezen), felhivtak, megneztem, mail.log egyik pillanatrol masikra tele van spamhaus.org, spamcop.net meg hasonlo uzenetekkel. Szoval spamlistara kerultek. ppp van egy kis szolgaltatohoz, de az igazan nagy gond az, hogy fix IP, szoval egy redial nem segit. Kertem a spamcop.net meg spamhaus.org cimeket, hoyg vegyek le az IP-t, addig is atirnayitottam egy altalam felugyelt SMTP szerverre, satobbi, szoval mukodott, hetvegen le is kerultek a listakrol.

Igazabol az erdekelne, hoyg 90% biztos, hoyg senki sem psammelt a cegtol, nagymeretu/sok cimre hirlevel nem ment ki, a mail.log-ban nem latszott, hoyg sokkal tobb level ment volna ki, megis mitol kerulhetett fel?

Esetleg egy spam hamisitotta a HELO vagy MAIL FROM mezoket? Mintha errol az IP-rol jott volna? Vagy technikailag hogyan lehetett ezt megcsinalni, ha felteszem, hoyg nem a halozatbol spammeltek (ennek mondjuk nyomat nem talaltam a postfixben, de ugyes spam-proggi megoldhatja, hogy nem hasznalja a ceges SMTP-t, gondolom)

  • 1177 megtekintés

( _ventura_ v | 2009. 04. 20., h – 10:56 )

gondolom nem bérelt vonal van hanem rendes dsl vagy valami hasonló max fix ip vel
ezekkel az a gond hogy sitty sutty spamlistára kerül mert ha te nem is de mondjuk másik delikvens spammel és a spamhause azt mondja szal ez egy ilyen lakossági ip oszt banra teszi a tartományt pl.
persze fordult ez már elő szerverhostingos tartománnyal is :<

Core2Duo T7100, 2.5G, Ubuntu 9.04, 2.6.28

Hmm, szoval akar tartomanyt is banra raknak :( Ez mondjuk lehet. Akkor marad a szolgaltatovaltas, ha ez kiderulne.

(Ennel nagyobb orom, ha vmelyik ugyfelunk olyan IP-t kap a T-Online/Datanet/Interware szentharomsagtol, amirol elotte spammeltek es magyarazhatom meg, hoyg miert nem tudja atkuldeni a szomszed szeken ulo Gizusnak azt a roppant erdekes videot, amit most kapott emilben...Igazan leszokhatnanak mar a dinamikus IP-rol.)

( trey | 2009. 04. 20., h – 10:58 )

Ha NAT-olt a háló és kifele mehet a 25-ös port, akkor előfordulhat hogy egy gép a NAT mögött bekap valami szart. Az meg ontja kifele a spam-et. Ilyenkor nyilván nem az Exchange szerveren megy keresztül, hanem a fertőzött gép közvetlen küldi ki. Így az Exchange logban nincs semmi.

Ha ez a helyzet, akkor a megoldás: kifele a 25-ös port tiltása az Exchange kivételével.

Ez csak egy lehetőség, amit érdemes megvizsgálni. Gyakran ez a probléma.

--
trey @ gépház

Tobb helyen lattam azt a megoldast, hogy nem kiszurtek a 25/tcp-t, hanem a Netfilter redirect moduljaval atadtak a tuzfalon futo smtp proxynak, igy annak logjabol rogton es egyertelmuen kiderul, hogy melyik LANos gep a fertozott. (Igen tudom, lehet logolni a netfilterrel is. :) Termeszetesen a mail proxy nem kuldi ki a spameket.

( spymorass v | 2009. 04. 20., h – 11:01 )

lehet az is, hogy valamelyik gépre mailware települt, és az ontja ki a spamet

( Celtic v | 2009. 04. 20., h – 19:40 )

Hatszoval, mindenki arra jutott, hogy valoszinuleg valamelyik gep bekapott valamit...
(Gondoltam en is ra, de nem ugy ismerem a ceget.) Persze, tevedhetek is.

De arra lennek kivancsi, valaki talalkozott mar olyannal, hogy a spammelo proggi hamisitja a sajat IP-jet?