Por que minha porta 25 é tão ativa?

Question

Por que minha porta 25 é tão ativa?

#1 resposta do (11 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)

4

Usando o netstat -na percebo que tenho muitas conexões como

tcp        0      0 XXX.XXX.XXX.XXX:25        YYY.YYY.YYY.YYY:13933     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:25        ZZZ.ZZZ.ZZZ.ZZZ:9528     ESTABLISHED

São endereços para EUA, Brasil, etc, apesar de meu servidor estar localizado no Reino Unido.
Isso pode ser alguma atividade "ilegal", como spam ou algo assim?

[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632

firewall smtp hacking intrusion-detection

por user48058 18.07.2010 / 20:17

5 respostas

Tags firewall smtp hacking intrusion-detection

IIS 7.5 FTP Falha no Login dos Usuários do Gerenciador do IIS (530) Postfix 'load balance' enviando IPs

score 11 · Answer 1

Sim.

Ou pelo menos, está sendo tentado. Se você tiver a porta 25 aberta, você pode ter certeza de que alguém está tentando retransmitir e-mails através de você. Se você tem a porta 80 aberta, pode ter certeza de que alguém está tentando explorar seu site. Se você tem a porta 22 aberta, você pode ter certeza de que alguém está tentando forçar você. Observe um padrão?

Para sua sorte, eles são quase totalmente amadores. Use ferramentas como seus arquivos de log, telnet e tcpdump para verificar se são apenas tentativas e se você não está sendo usado com sucesso para retransmitir spam.

score 2 · Answer 2

A porta 25 é a porta padrão em que o tráfego SMTP é executado. Se você pretende que seu sistema seja um servidor de e-mail do que aqueles que podem ser servidores legítimos tentando enviar a você ou a seus usuários um e-mail. Se você não pretende que seu sistema seja um servidor de e-mail, descubra como desativar a porta 25.

Historicamente, os servidores de e-mail seriam configurados para enviar educadamente por e-mail para outros servidores. Hoje isso é ruim, ruim, ruim. Chama-se ser um retransmissor de email aberto. Seria sábio verificar se você não está fazendo isso. Mas, não vá longe e tente bloquear o tráfego da porta 25 se você quiser aceitar e-mails do mundo externo.

score 1 · Answer 3

Se precisar, abra-o e abra-o. Tente bloquear quem você aceita conexões smtp. Você pode obter um filtro de spam / vírus externo, que hospeda os servidores registrados do DNS MX. Então apenas accetp smtp da sua rede.

Observe que a porta tcp 587 é uma porta de envio de mensagens RFC.

score 0 · Answer 4

Você tem um servidor de e-mail nesta máquina?
Caso contrário, feche a porta (firewall) e isso deve ser suficiente.
Se sim, então procure em seu mail.log (/var/log/mail.log) para ver o que está acontecendo lá. Ele vai dizer quem se conectou e o que foi feito. Se os IPs estão tentando enviar muitos e-mails para usuários inexistentes em seu domínio ou para outros domínios ou outras atividades "ilegais" (bloqueadas ou bem sucedidas), eu os colocaria no firewall se eles fizessem isso muito e todos os dias, mas é apenas uma escolha pessoal, não é uma opção necessária e você não pode ficar lá o dia todo olhando todas as conexões para bloquear todo mundo !!!

Depois disso, acho que você deve investigar para ver se o seu e-mail está retransmitindo e-mail para quem perguntar ou não. De qualquer forma, se você tiver um servidor de email, as pessoas tentarão usá-lo. Nada que você possa fazer contra eles tentando ... mas você deve ser capaz de ver no log se eles conseguiram retransmitir ou se eles foram bloqueados. Certifique-se de que seu servidor de e-mail está configurado para não retransmitir servidores não confiáveis ou desconhecidos (ou conhecidos e não permitidos, é claro! :)).

Edit: acabou de lembrar agora ... se você não tem um servidor de e-mail e porta 25 está aberta, eu acho que você precisa dar uma olhada nas outras portas também e fechar o não utilizado.

score 0 · Answer 5

Se o seu servidor / computador for um servidor de e-mail, verifique-o com link para ver se não é um retransmissor aberto. Se o MxToolbox disser que não é bom você presumir que as conexões de entrada não estão causando nenhum dano (exceto para tentar passar por você que não teve sucesso). Você pode verificar seu servidor se ele estiver na lista de spam para verificar se você não está enviando spam por conta própria.