Porta 25 dell'ISP bloccata a causa dello spamming


20

Domanda principale:

È anche possibile essere infettati da un bot / software di spamming su Ubuntu (o qualsiasi altra distribuzione)?

Dettagli:

Il mio ISP ha bloccato la mia porta 25 (e 465) per le connessioni in uscita ( connessioni in uscita, da casa al server remoto) a SMTP, quindi non posso usare le mie e-mail aziendali da casa in questo momento. Il loro ragionamento per bloccarmi è: "a causa del tuo invio di spam" che io non sono e mi hanno detto che se non sto inviando il mio sistema operativo è probabilmente infetto ...

Potrei usare un elenco completo di strumenti e guide per controllare il sistema ( Ubuntu 13.10 14.04 64 bit ) per eventuali infiltrati / malware / rootkit.

PS

  • Ho anche Windows 8.1 (64 bit) installato solo perché mi piace anche giocare sul mio computer di casa ... ma è quello che faccio solo su Windows ... quando ho tempo ...

  • La connessione wireless è disattivata e anche se è attiva è protetta da pass.

  • La scansione di Windows non ha rivelato nulla e non avrebbe dovuto
    esserci poiché ci sono finestre e giochi installati lì.

  • Posso collegarmi ad altre porte per SMTP ma il nostro server ne usa 25 e questo non può cambiare

  • Ho anche testato il collegamento alla porta 25 da windoze (usando thunderbird)

  • Uso thunderbird per client di posta elettronica su Ubuntu e ne ho testati alcuni altri solo per verificare che non fosse un errore di configurazione di Thunderbird.

  • Il telneting genera anche il timeout della connessione ...

EDIT: Il mio ISP rifiuta ancora di sbloccarmi ... Forse dovrò aprire 587 sul server, dal momento che al momento non è bloccato (posso ancora usare Gmail)

EDIT 2:

Immagino che oggi ero collegato con un'altra tecnologia dal supporto del mio ISP e mi ha detto che non c'è un blocco da loro ... Ero furioso !!! Non so cosa stesse facendo la tecnologia precedente ... forse è nuovo e stava leggendo da una sceneggiatura ..

Quindi ho testato un altro ISP tramite tethering dal mio telefono e sono riuscito a inviare e-mail tramite la porta 25. Essenzialmente non ho cambiato nulla, solo l'ISP. Mi stanno prendendo in giro? Forse il supporto tecnico non sa come interpretare ciò che stanno guardando sui loro schermi per il mio account o potrebbe essere qualcos'altro?

Un altro passo che ho fatto è stato ripristinare completamente il mio router alle impostazioni predefinite e ottenere un altro IP dinamico. Ancora nessuna connessione alla porta 25.

Sto pensando di ottenere un router usato da un amico o qualcosa da testare con un altro router solo per essere sicuro che il problema risieda nel mio ISP.

EDIT 3: È passato un po 'di tempo dal mio ultimo aggiornamento a questa domanda. Sono tornato nella mia vecchia casa (che si trova in un'altra parte del paese) dove ho lo stesso provider di servizi Internet. La stessa compagnia !! Le mie impostazioni funzionano come previsto. Posso inviare e-mail bene usando la porta 25. Scommetto che il problema era con quel brutto router ZTE che l'ISP distribuiva ai nuovi clienti.


Hai bisogno di qualcosa come questo barracuda.com/products/spamfirewall ma sono costosi
Tasos

Forse hai corso qualcosa del genere nmap somehost/24 -p 25?
d33tah,

Oltre alle altre risposte, l'ISP potrebbe fare quello che fanno la maggior parte degli ISP: bloccano globalmente SMTP in uscita. Il tuo ISP ha un server smtp attraverso il quale puoi inoltrare? ad es. stmp. [isp.com]?
jqa,

1
Hai configurato il tuo server di posta per non inoltrare la posta da altrove?
Shadur,

1
questo è il mondo del software man, all'interno del mondo cibernetico, tutto è possibile, i sistemi operativi non possono diventare immuni, "virus" è semplicemente un nome per un programma rogure che qualcuno ha codificato, in pratica stai chiedendo "può qualcuno eseguire anche il programma ubuntu "- DI CORSO!
pythonian29033,

Risposte:


32

È anche possibile?

Perché non dovrebbe essere? Ubuntu è un sistema davvero flessibile che condivide molti problemi con la maggior parte degli altri sistemi operativi:

  • Il software in Ubuntu può essere sfruttato
  • Non hai bisogno di root per eseguire un demone spam.
  • Le persone possono violare l'autenticazione debole
  • Gli utenti di Ubuntu possono essere convinti a installare / eseguire qualsiasi cosa
  • Una volta entrati, gli hacker possono caricare / scaricare in remoto più software per inviare spam

Siamo realisti sulla sicurezza qui. Un exploit Flash multipiattaforma potrebbe facilmente tradursi in un dropper caricando e installando un demone spam che si esegue automaticamente al login. Non ha bisogno di root.

Ricontrolla la storia dell'ISP

"Ma il mio ISP non mi mentirebbe!" nessuno ha mai detto . Molti ISP domestici bloccano abitualmente la porta 25 e altri ti costringono a utilizzare i loro server SMTP (questa è l'unica connessione p25 in uscita che consentiranno).

Essere un moderatore mi permette di vedere il tuo IP e ho controllato il tuo ISP di casa. Se vai su Google il loro nome e "porta 25" o "smtp", vedrai molte altre persone in situazioni simili. E hanno un server SMTP centrale.

So che hai detto che si tratta di un nuovo problema, ma controlla bene che non sia il tuo ISP (o che abbia bisogno delle giuste impostazioni mentre sei sul tuo ISP). La soluzione alla fine dovrebbe ancora funzionare per te.

Trovare il problema

Per quanto possibile, non sono ancora sicuro che sia l'obiettivo più probabile. Se sei come me, sei circondato da dispositivi connessi a Internet e devi guardarli tutti.

Vorrei iniziare chiedendo all'ISP alcune prove. Timestamp al minimo indispensabile, ma sarebbe bello vedere cosa stanno usando per assicurarsi che non sia un flag automatico andato storto.

  • È possibile che qualcuno abbia segnalato un'e-mail di lavoro con il dipartimento degli abusi dell'ISP.
  • Devi sapere quale sistema operativo stavi utilizzando al momento. Sia Ubuntu che Windows tengono registri di autenticazione, quindi confrontali con qualsiasi prova che possano inviarti.
  • Registra l'attività della porta 25 in uscita con qualcosa del tipo:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Onestamente non sono sicuro che funzionerà se sei già bloccato, ma vale la pena provare. Vari firewall di Windows ti offriranno varie alternative di registrazione.

  • Nota che qualsiasi dispositivo sulla tua connessione potrebbe inviare e-mail, non solo il tuo computer. Telefoni, tostapane abilitati per wifi, vicini cattivi, ecc. Trovare qualunque cosa stia inviando questa posta potrebbe richiedere un'intercettazione e una registrazione dei pacchetti a livello di rete. Tutto ciò è possibile, ma è un dolore nella parte posteriore.

  • Una volta esauriti i percorsi più probabili, scegli il tuo software antivirus Linux . Non posso parlare personalmente per nessuno di loro o per i loro tassi di rilevazione.

Lavorare intorno a un blocco immediatamente

Se è necessario continuare, il modo più semplice per continuare a inviare e-mail è tramite una sorta di connessione offuscata o crittografata. Se hai accesso a un server SSH (ad esempio al lavoro), questo può spesso essere il metodo migliore.

ssh -D9100 user@host

Quindi basta modificare il client di posta elettronica per utilizzare un indirizzo proxy SOCKS localhost, porta 9100. Il tuo ISP non sarà in grado di interferire con questo e sarei molto sorpreso se qualunque cosa invii lo spam possa indovinare la configurazione di SOCKS.

Cosa è molto probabile in questo caso ...?

Verifica se puoi inviare e-mail tramite il server SMTP del tuo ISP. Ho controllato, il tuo ne ha uno. Potrebbero costringere tutti i loro utenti a usarlo perché è molto comune. La persona dell'assistenza tecnica potrebbe essere confusa.

Chiedi a un altro utente (con un altro account, su un'altra linea telefonica) di provare a collegarti allo SMTP della tua azienda. Questo può essere fatto rapidamente con telnet example.com 25.

  • Se non riescono a connettersi, supponi che questo sia a livello di ISP, non solo il tuo account, quindi probabilmente non è un problema di sicurezza ... È solo qualcosa con cui dovrai lavorare o aggirare.

  • Se riescono a connettersi, sei tornato al punto di partenza. C'è stato qualcosa che ha inviato e-mail dalla tua rete che ha attivato il tuo ISP per bloccarti. La scansione dei virus, il monitoraggio del traffico e la paranoia sono i tuoi migliori amici qui.


1
In effetti, alcuni ISP lo bloccano solo come una questione di politica, il che è molto probabile e quindi dovresti chiedere una prova. Se qualcosa sulla rete domestica sta effettivamente inviando un intervallo, la ricerca non è esattamente facile.
psusi,

Accetterò questa come risposta poiché contiene informazioni utili. Ho controllato l'installazione di Windows con vari strumenti di scansione ... non ha trovato nulla. Nemmeno i cookie di tracciamento ... Per quanto riguarda la mia installazione di Ubuntu, ho appena eseguito lo strumento rkhunter e non ho trovato nulla ... (per favore fatemi sapere se ci sono altri strumenti che posso provare per la mia situazione specifica)
Petsoukos

@Petsoukos Preferirei probabilmente un vero antivirus di scansione rispetto a uno strumento simile rkhunter. Forse sono ingiusto, ma non li conto nella stessa lega l'uno dell'altro.
Oli

Questa risposta trascura la possibilità che sia un relay di spam aperto. È una buona informazione, ma potrebbe solo aiutarlo a mantenere accessibile la sua macchina mal configurata.
Casey,

@casey Non raggiungo questa conclusione dalla domanda. Affatto. Indica la connessione a un server di lavoro che supporta solo la porta 25 ...
Oli

8

È certamente possibile essere infetti e parte di una botnet in Ubuntu. Ma è anche davvero molto improbabile.

Dovresti essere in grado di chiedere al tuo ISP i loro record. Ti aiuteranno a trovare il problema. È difficile da diagnosticare da qui, ma il tuo wireless ha buone probabilità di essere il colpevole. Verifica di utilizzare WPA2 per sicurezza e che WPS è disabilitato.

Dopo aver risolto il problema e aver smesso di inviare spam per un po ', probabilmente puoi parlare con il tuo ISP per sbloccare le porte.


3
"Verifica di utilizzare WPA." WEP e WPA sono vulnerabili. Mi assicurerei che stai eseguendo WPA2.
MiniRagnarok,

L'ho modificato poiché accetto che WPA2 sia più sicuro. Ma AFAIK non è nota alcuna vulnerabilità nota in WPA che può permetterti di connetterti a una rete (a corto di forza bruta o di usare password WPS per ottenere la password).
Javier Rivera,

Il mio supporto tecnico ISP probabilmente non sa di cosa sto parlando quando parlo con loro ...
Petsoukos,

5

È prassi comune bloccare la porta 25 in uscita, poiché a causa di problemi di spamming si è in qualche modo scoraggiato per l'invio originale di e-mail. È ancora usato tra i server di posta.

La porta corretta (e in genere non bloccata) per l'invio di e-mail (originale) è la porta 587, la cosiddetta porta di invio. I provider di posta generalmente lo supportano, gli operatori di sistema in genere non lo bloccano.


4

Molti ISP bloccano le porte 25 e 80 per tutti i loro account dei consumatori. Uso un servizio di web hosting che include il servizio di posta elettronica. mi forniscono un server smtp su una porta non standard per la posta in uscita. Funziona ovunque. Potresti avere accesso a qualcosa di simile. Pensa a quali servizi hai già e analizzali.


2

Molte delle altre risposte si concentrano su qualcuno che utilizza il tuo wifi o infetta le tue macchine. Questi sono possibili ma trascurano la spiegazione più semplice (il rasoio di Occam ...).

Molto probabilmente ti stai comportando come un relay aperto, il che significa che chiunque nel mondo può connettersi alla tua macchina e chiedergli semplicemente di inviare posta da qualche parte, e lo farai, senza fare domande. Questo è spesso il motivo per cui gli ISP ti bloccano perché è un semplice test per loro. Eseguiranno la scansione del blocco IP del cliente e chiederanno qualsiasi cosa sulla porta 25 per inoltrare un messaggio di prova e, se lo fai, sei uno spammer. Può darsi che nessuno stia effettivamente usando il tuo relay, ma la sua semplice esistenza è sufficiente per essere bloccata.

Per verificare se sei un relay aperto, telnet al tuo server di posta e parla con esso. Le linee in grassetto sono quelle digitate.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Le linee digitati sono i helo, mail from:e le rcpt to:linee. Assicurati di utilizzare indirizzi che non ti sono locali, entrambi devono essere host remoti. Se non ricevi l'errore 554 relay denied, sei un gateway spam configurato in modo errato e correttamente bloccato.

Il modo più semplice per porre rimedio a questo è richiedere l'autenticazione per inviare posta tramite il tuo MTA. I dettagli per l'impostazione dipendono dall'MTA in esecuzione, un dettaglio che non è presente nella domanda.


Penso che in quel caso dovrei avere un server di posta installato sul mio computer di casa che non lo faccio. Corretta? Non sto provando a inviare dalla mia macchina come server di posta ma piuttosto a connettermi al mio attuale server remoto (fuori sede).
Petsoukos,

0

Solo per assicurarti di non avere qualcosa di brutto in esecuzione sul tuo box o rete Linux.

Controlla tu stesso la tua rete

Inizia eseguendo questo sul tuo computer Linux a casa:

netstat -ta

Questo elencherà tutte le connessioni tcp che sono state stabilite o in ascolto (con server dietro di esse). Se c'è qualcosa che non ti aspetti, dovresti indagare ulteriormente.

Un altro comando molto utile che elenca tutti i processi con connessioni Internet che hanno tenuto aperti è:

sudo lsof -i

(dovrai aver lsofinstallato il pacchetto.)

Tieni presente che i test di cui sopra non riguarderanno altri dispositivi che condividono la tua connessione Internet: telefono, tablet, gadget abilitati a Internet, vicini di casa sulla tua connessione ecc., Come menzionato da Oli. Se disponi di un elenco dei tuoi IP interni, puoi eseguire un port-scan esterno su ciascuno di essi, uno per uno, dalla tua scatola di Linux:

sudo nmap <internal-ip-address>

(richiede il nmappacchetto). Potrebbe rivelare porte e servizi aperti su vari dispositivi di cui potresti non essere a conoscenza.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.