Rejeitar todos os pacotes de correio em todas as portas (saída) no Ubuntu

tcpdump é uma ferramenta útil para descarregar pacotes da rede para arquivar ou para a tela, geralmente disponível nos repositórios de distribuição de distribuição e está muito bem documentado e testado para situações como esta.

Você pode instalar o tcpdump no roteador ubuntu ( apt-get install tcpdump ) e configurá-lo para observar o tráfego smtp;

 # tcpdump -s0 -w/tmp/smtp_dump port 25
 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

você pode revisar o arquivo para o qual os hosts estão enviando tráfego smtp de outra sessão SSH;

# tcpdump -qr /tmp/smtp_dump 
reading from file /tmp/smtp_dump, link-type EN10MB (Ethernet)
13:27:54.291884 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.315294 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 0
13:27:54.315323 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.339110 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 45
...

você pode obter resultados mais sofisticados se instalar wireshark em sua máquina local e baixar os arquivos de despejo, ou usar tshark no ssh linha de comando.

aviso: o tcpdump preencherá seu disco rapidamente se você tiver muito tráfego smtp, portanto, revise o arquivo de saída ls -lh /tmp/smtp_dump e pare o comando com ctrl-c quando tiver alguns MB de dados para examinar.

Opções de interface para tcpdump ( -i eth0 ): se o seu roteador usa uma interface diferente de eth0, talvez seja necessário selecioná-lo com a opção -i . tcpdump -i bond0 -s0 -w/tmp/smtp_dump port 25

Você pode querer bloquear todos os seus pacotes smtp, isso pode ser um aborrecimento real, por sorte há l7-filter . Ele pode bloquear muitos protocolos diferentes , você só precisa instalá-lo no seu gateway / firewall.

O correio também pode ser enviado nas portas 465 e 587. (465 foi revogado mas ainda pode estar em uso.). Combinado com o abuso de um servidor proxy, o correio pode até ser enviado na porta 80 ou 443 ou 3128 (para o squid) ou em muitos outros.

Sua rede tem um único ponto de saída para a internet? Você tem um firewall nesse ponto?

Se não, você vai querer isso. Se você tiver vários pontos de saída, deverá ter firewalls em cada um deles. (Possivelmente a mesma caixa física).

Defina seus firewalls para descartar tudo por padrão e permitir somente o tráfego desejado.

Se você não souber qual é o tráfego normal, adicione uma linha de registro ao final das regras do firewall para que tudo que ainda não tenha correspondência seja registrado.

Mesmo que você consiga bloquear o tráfego usando o firewall, você ainda desejará rastrear e interromper o que estiver enviando o e-mail. Se você não sabe qual processo está enviando, o e-mail pode facilmente ser um sistema comprometido ou um proxy aberto ou um formulário da web que algum spammer está abusando. Eu não gostaria de um desses na minha rede.

A melhor solução é provavelmente configurar seus clientes de email para usar a porta de envio (587) ou a porta SSMTP (465) ao enviar emails de saída e bloquear todo o tráfego de saída para a porta 25. A maioria dos provedores de email deve permitir acesso a eles. portas para enviar mensagens de saída.