Rejeitar todos os pacotes de correio em todas as portas (saída) no Ubuntu

2

Acabei de ter um problema com o nosso ISP; nossa conexão com a internet foi bloqueada porque havia muito e-mail sendo enviado do nosso ip. O problema é que todos nós usamos o gmail e que nenhum email está sendo enviado através do servidor SMTP do ISP, até onde sabemos (o ISP bloqueia todo o tráfego para a porta 25 se não estiver no servidor).

Eu bloqueei a porta 25 antecipadamente, portanto, nenhum email de saída para esse servidor de e-mail pode sair da nossa rede. Mas isso não rejeita o envio de mensagens para portas em outros servidores.

O que eu gostaria de fazer é descobrir o que está enviando esses e-mails em nossa rede. Existe um programa que possa identificar pacotes de email e rejeitá-los usando o Ubuntu? Nosso roteador Ubuntu não executa um servidor SMTP, a propósito.

    
por WesleyE 27.05.2012 / 18:46

4 respostas

2
O

tcpdump é uma ferramenta útil para descarregar pacotes da rede para arquivar ou para a tela, geralmente disponível nos repositórios de distribuição de distribuição e está muito bem documentado e testado para situações como esta.

Você pode instalar o tcpdump no roteador ubuntu ( apt-get install tcpdump ) e configurá-lo para observar o tráfego smtp;

 # tcpdump -s0 -w/tmp/smtp_dump port 25
 tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes

você pode revisar o arquivo para o qual os hosts estão enviando tráfego smtp de outra sessão SSH;

# tcpdump -qr /tmp/smtp_dump 
reading from file /tmp/smtp_dump, link-type EN10MB (Ethernet)
13:27:54.291884 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.315294 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 0
13:27:54.315323 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.339110 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 45
...

você pode obter resultados mais sofisticados se instalar wireshark em sua máquina local e baixar os arquivos de despejo, ou usar tshark no ssh linha de comando.

aviso: o tcpdump preencherá seu disco rapidamente se você tiver muito tráfego smtp, portanto, revise o arquivo de saída ls -lh /tmp/smtp_dump e pare o comando com ctrl-c quando tiver alguns MB de dados para examinar.

Opções de interface para tcpdump ( -i eth0 ): se o seu roteador usa uma interface diferente de eth0, talvez seja necessário selecioná-lo com a opção -i . tcpdump -i bond0 -s0 -w/tmp/smtp_dump port 25

    
por 27.05.2012 / 22:33
2

Você pode querer bloquear todos os seus pacotes smtp, isso pode ser um aborrecimento real, por sorte há l7-filter . Ele pode bloquear muitos protocolos diferentes , você só precisa instalá-lo no seu gateway / firewall.

    
por 27.05.2012 / 19:03
1

O correio também pode ser enviado nas portas 465 e 587. (465 foi revogado mas ainda pode estar em uso.). Combinado com o abuso de um servidor proxy, o correio pode até ser enviado na porta 80 ou 443 ou 3128 (para o squid) ou em muitos outros.

Sua rede tem um único ponto de saída para a internet? Você tem um firewall nesse ponto?

Se não, você vai querer isso. Se você tiver vários pontos de saída, deverá ter firewalls em cada um deles. (Possivelmente a mesma caixa física).

Defina seus firewalls para descartar tudo por padrão e permitir somente o tráfego desejado.

Se você não souber qual é o tráfego normal, adicione uma linha de registro ao final das regras do firewall para que tudo que ainda não tenha correspondência seja registrado.

Mesmo que você consiga bloquear o tráfego usando o firewall, você ainda desejará rastrear e interromper o que estiver enviando o e-mail. Se você não sabe qual processo está enviando, o e-mail pode facilmente ser um sistema comprometido ou um proxy aberto ou um formulário da web que algum spammer está abusando. Eu não gostaria de um desses na minha rede.

    
por 27.05.2012 / 23:25
0

A melhor solução é provavelmente configurar seus clientes de email para usar a porta de envio (587) ou a porta SSMTP (465) ao enviar emails de saída e bloquear todo o tráfego de saída para a porta 25. A maioria dos provedores de email deve permitir acesso a eles. portas para enviar mensagens de saída.

    
por 27.05.2012 / 22:59