https://www.opennet.ru/openforum/vsluhforumID10/5294.html Добрый день. Есть некое высшее учебное заведение, системный администратор которого сейчас не может появится на связи (если кому-то интересно где он, могу в приват сказать). В этом ВУЗе есть почтовый сервер exim на FreeBSD, который явлется и интернет-шлюзом. Проблма в том, что IP-адресс этого сервера попал с спам-листы и перестала ходить почта на gmail и некоторые другие сервисы. С гуглом и другими проблема еще куда не шла. Но беда в том, что письма не могут отправить с этого домена в Министерство образования. Так как сис. админ сейчс недоступен по определенным причинам, попросили меня устранить эту проблему. FreeBSD я знаю не настолько хорошо чтобы сам решить эту проблему. На http://mxtoolbox.com/blacklists.aspx я ввел IP сервера, потом адрес домена и выдало несколько сервисов где он занесен в блек-листы. С двух я уже вытащил. С остальными не знаю как быть и что делать.<br>Вообщем несколько вопросов:<br>1. Как узнать причину по которой сервер попал в спам-листы?<br>2. Достаточно ли этих правил на интернет-шлюзе что https://www.opennet.ru/openforum/vsluhforumID10/5294.html#13 Wed, 07 Jan 2015 16:19:03 GMT Всем спасибо. Уже вытащил со всех блеклистов. Остался только один Spamhaus ZEN на http://www.spamhaus.org/pbl.<br><br>По той форме на их сайте пробовал убрать IP. Ввел институтскую почту, на неё пришел код. Ввел его. Написало что через 30 минут уберут. Но вот уже прошли праздники, а все еще не убрали. В чем там может быть проблема? Может знает кто-то?<br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#12 Wed, 07 Jan 2015 12:27:13 GMT &gt;&gt; Kakoi spam? 216.66.15.109:80&lt;?<br>&gt; Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник <br>&gt; соединения с указанным IP во внутренней сети можно определить, запустив tcpdump <br>&gt; на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i <br>&gt; eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net <br>&gt; 216.66.15.0/24, как вариант) <br><br>Я бы еще порекомендовал поискать специалиста, а не заниматься обучением на работающих пользователях.<br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#11 Wed, 24 Dec 2014 10:44:08 GMT &gt; Kakoi spam? 216.66.15.109:80&lt;?<br><br> Если весь трафик идёт через сервер FreeBSD (НАТится) - то источник соединения с указанным IP во внутренней сети можно определить, запустив tcpdump на внутреннем интерфейсе. Ну, например, вот так - tcpdump -vvAs0 -i eth1(или как там во Фре обозначаются инфтерфейсы?) host 216.66.15.109 (или net 216.66.15.0/24, как вариант)<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#10 Wed, 24 Dec 2014 09:19:41 GMT &gt; Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a <br>&gt; conficker sinkhole) with a destination port 80, source port (for this <br>&gt; detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our <br>&gt; detection systems use NTP for time synchronization, so the timestamp should <br>&gt; be accurate within one second.<br>&gt; Kakoi spam? 216.66.15.109:80&lt;?<br><br>nmap vrode umejet v setke iskat`<br>http://www.sans.org/security-resources/idfaq/detecting-conficker-nmap.php<br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#9 Wed, 24 Dec 2014 09:16:54 GMT Your IP was observed making connections to TCP/IP IP address 216.66.15.109 (a conficker sinkhole) with a destination port 80, source port (for this detection) of 1866 at exactly 2014-12-23 11:51:49 (UTC). All of our detection systems use NTP for time synchronization, so the timestamp should be accurate within one second.<br><br>Kakoi spam? 216.66.15.109:80&lt;?<br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#8 Tue, 23 Dec 2014 14:06:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; они ругаются что с моего сервера туда идет спам?<br>&gt;&gt;&gt; малость ошибся...<br>&gt;&gt; Ну вроде так вы запретите все коннекты на 25 порт всем кроме <br>&gt;&gt; себя, это блокировка вообще 25 порта и спама в том числе...<br>&gt; Хорошо. Тогда если вернутся к изначальным правилам: <br>&gt; allow tcp from table(11) to me dst-port 25 keep-state <br>&gt; deny log logamount 100000 tcp from table(10) to any dst-port 25 <br>&gt; смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается <br>&gt; "ломится" на 216.66.15.109?<br>&gt; Или каким образом мне узнать кто именно спамит в сети?<br><br>deny log logamount 100000 tcp from table(10) to any dst-port 25<br>Вы запретили только из table(10) коннектиться куда угодно на 25 порт.<br><br>Один из основных вопросов - вы уверены, что спам до сих пор отсылается???<br>Чтобы что-то увидеть вам надо поймать "всплеск", если эти правила присутствовали ранее - изучайте логи, вполне вероятно что наилучший выход - запретить всем и собрать статистику, проанализировать логи и попробовать вычисли https://www.opennet.ru/openforum/vsluhforumID10/5294.html#7 Tue, 23 Dec 2014 14:04:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; они ругаются что с моего сервера туда идет спам?<br>&gt;&gt;&gt; малость ошибся...<br>&gt;&gt; Ну вроде так вы запретите все коннекты на 25 порт всем кроме <br>&gt;&gt; себя, это блокировка вообще 25 порта и спама в том числе...<br>&gt; Хорошо. Тогда если вернутся к изначальным правилам: <br>&gt; allow tcp from table(11) to me dst-port 25 keep-state <br>&gt; deny log logamount 100000 tcp from table(10) to any dst-port 25 <br>&gt; смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается <br>&gt; "ломится" на 216.66.15.109?<br>&gt; Или каким образом мне узнать кто именно спамит в сети?<br><br>хотите совет?<br>вот если нет у вас специалистов -- то и не нужно мучать попу. yandex предоставляет для небольших организаций вполне себе сервис в виде услуги "почта для домена"<br><br>так вы решите проблему много быстрее, избавитесь от необходимости зависить от очередного кулсисопа который не способен сделать систему которая работает без его непосредственного участия.<br><br>как вариант -- поспрашайте знакомых, может подскажут недорого знак https://www.opennet.ru/openforum/vsluhforumID10/5294.html#6 Tue, 23 Dec 2014 13:57:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state <br>&gt;&gt;&gt; ipfw add 00001 deny log logamount 100000 tcp from not me to <br>&gt;&gt;&gt; any 25 <br>&gt;&gt;&gt; Так будет правильно работать блокировка спама?<br>&gt;&gt;&gt; И увижу ли я при этих правилах по tail -f /var/log/security ip <br>&gt;&gt;&gt; компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org <br>&gt;&gt;&gt; они ругаются что с моего сервера туда идет спам?<br>&gt;&gt; малость ошибся...<br>&gt; Ну вроде так вы запретите все коннекты на 25 порт всем кроме <br>&gt; себя, это блокировка вообще 25 порта и спама в том числе... <br><br>Хорошо. Тогда если вернутся к изначальным правилам:<br><br>allow tcp from table(11) to me dst-port 25 keep-state<br>deny log logamount 100000 tcp from table(10) to any dst-port 25<br><br>смогу ли я по команде tail -f /var/log/security ip компьютера, который пытается "ломится" на 216.66.15.109?<br>Или каким образом мне узнать кто именно спамит в сети?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5294.html#5 Tue, 23 Dec 2014 13:51:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Если тогда эти правила поменять на, где в таблице(11) будут ip, которым <br>&gt;&gt; можно отсылать почту: <br>&gt;&gt; ipfw add 00001 allow tcp from 'table(11)' to me dst-port 25 keep-state <br>&gt;&gt; ipfw add 00001 deny log logamount 100000 tcp from not me to <br>&gt;&gt; any 25 <br>&gt;&gt; Так будет правильно работать блокировка спама?<br>&gt;&gt; И увижу ли я при этих правилах по tail -f /var/log/security ip <br>&gt;&gt; компьютера, который пытается "ломится" на 216.66.15.109, где по ссылке на cbl.abuseat.org <br>&gt;&gt; они ругаются что с моего сервера туда идет спам?<br>&gt; малость ошибся...<br><br>Ну вроде так вы запретите все коннекты на 25 порт всем кроме себя, это блокировка вообще 25 порта и спама в том числе...<br>