ISP Blocked port 25 a causa dello spamming

20

Domanda principale:

È persino possibile essere infettati da un software bot / spam su Ubuntu (o qualsiasi altra distribuzione)?

Dettagli:

Il mio ISP ha bloccato la mia porta 25 (e 465) per le connessioni in uscita (connessioni in uscita, da casa a server remoto) a SMTP, quindi non posso usare le e-mail aziendali da casa in questo momento. Il loro ragionamento per bloccarmi è: "a causa dell'invio di spam" che non sono e mi hanno detto che se non sto inviando il mio sistema operativo è probabilmente infetto ...

Potrei usare un elenco completo di strumenti e guide per controllare il sistema ( Ubuntu 13.10 14.04 64bit ) per eventuali infiltrati / malware / rootkit.

P.S.

  • Ho anche installato Windows 8.1 (64 bit) solo perché mi piace anche gioco sul mio computer di casa ... ma è quello che faccio solo su Windows ... quando ho tempo ...

  • Il wireless è disattivato e anche se è attivo è protetto.

  • La scansione di Windows non ha rivelato nulla né avrebbe dovuto dal momento che
    ci sono finestre e giochi installati lì.

  • Posso connettermi ad altre porte per SMTP ma il nostro server usa 25 e quello non può cambiare

  • Ho anche testato il collegamento alla porta 25 da windoze (usando thunderbird)

  • Uso thunderbird per client di posta elettronica su ubuntu e ne ho provati alcuni altri solo per verificare che non fosse un errore di configurazione di thunderbird.

  • Telneting emette anche il timeout della connessione ...

EDIT: Il mio ISP rifiuta ancora di sbloccarmi ... Forse dovrò aprire 587 sul server, dal momento che non è bloccato al momento (posso ancora usare Gmail)

EDIT 2:

Credo che oggi ero collegato ad un'altra tecnologia dal supporto del mio ISP e mi ha detto che non c'era un blocco da loro ... Ero furioso !!! Non so che cosa abbia fatto la tecnologia precedente ... forse è nuovo e stava leggendo da una sceneggiatura ..

Quindi ho provato un altro ISP via tethering dal mio telefono e sono riuscito a inviare e-mail attraverso la porta 25. In sostanza non ho cambiato nulla, solo l'ISP. Mi stanno prendendo in giro? Forse il supporto tecnico non sa come interpretare ciò che stanno guardando sui loro schermi per il mio account o potrebbe essere qualcos'altro?

Un altro passo che ho fatto è stato ripristinare completamente il mio router alle sue impostazioni predefinite e ottenere un altro IP dinamico. Ancora nessuna connessione alla porta 25.

Sto pensando di ottenere un router usato da qualche amico o qualcosa da testare con un altro router solo per essere sicuro che il problema riguardi il mio ISP.

MODIFICA 3: È passato un po 'dal mio ultimo aggiornamento a questa domanda. Sono tornato nella mia vecchia casa (che si trova in una parte diversa del paese) dove ho lo stesso internet provider. La stessa compagnia !! Le mie impostazioni funzionano come previsto. Posso inviare e-mail bene usando la porta 25. Scommetto che il problema era con quel brutto router ZTE che l'ISP distribuisce a nuovi clienti.

    
posta Petsoukos 25.03.2014 - 17:01

6 risposte

32

È persino possibile?

Perché non dovrebbe essere? Ubuntu è un sistema molto flessibile che condivide molti problemi con la maggior parte degli altri sistemi operativi:

  • Il software in Ubuntu può essere sfruttato
  • Non hai bisogno di root per eseguire un demone di spam.
  • Le persone possono violare l'autenticazione debole
  • Gli utenti di Ubuntu possono essere convinti di installare / eseguire praticamente qualsiasi cosa
  • Una volta entrati, gli hacker possono caricare / scaricare a distanza più software per inviare spam

Rimaniamo realistici sulla sicurezza qui. Un exploit Flash multipiattaforma potrebbe facilmente tradursi in un dropper che carica e installa un demone di posta indesiderata che esegue se stesso all'accesso. Non ha bisogno di root.

Verifica due volte la storia dell'ISP

"Ma il mio ISP non mi mentirebbe!" ha detto nessuno mai . Molti ISP locali abitualmente bloccano la porta 25 e altri ti costringono a usare i loro server SMTP (questa è l'unica connessione p25 in uscita consentita).

Essere un moderatore mi consente di vedere il tuo IP e ho controllato il tuo ISP di casa. Se si google il loro nome e "porta 25" o "smtp", vedrete un sacco di altre persone in situazioni simili. E hanno un server SMTP centrale.

So che hai detto che si tratta di un nuovo problema, ma basta controllare che non sia il tuo ISP (o che abbia bisogno delle giuste impostazioni mentre sei sul tuo ISP). La soluzione alternativa alla fine dovrebbe funzionare ancora per te.

Individuazione del problema

Anche se possibile, non sono ancora sicuro che sia l'obiettivo più probabile. Se sei come me, sei circondato da dispositivi connessi a Internet e devi guardarli tutti.

Vorrei iniziare chiedendo all'ISP alcune prove. I timestamp sono al minimo, ma sarebbe bello vedere cosa stanno usando per assicurarsi che non si sia verificato un errore automatico.

  • Potrebbe essere che qualcuno abbia segnalato un'e-mail di lavoro con il dipartimento per gli illeciti dell'ISP.
  • Devi sapere quale sistema operativo stavi utilizzando in quel momento. Sia Ubuntu che Windows conservano i log di autenticazione, quindi confrontali con le prove che possono inviarti.
  • Accedi all'attività della porta in uscita 25 con qualcosa come:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Onestamente non sono sicuro che funzionerà se sei già bloccato, ma vale la pena sparare. Diversi firewall di Windows ti offriranno varie alternative di registrazione.

  • Tieni presente che qualsiasi dispositivo sulla tua connessione potrebbe inviare email, non solo il tuo computer. Telefoni, tostapane abilitati alla connessione wifi, vicini maliziosi, ecc. Trovare qualsiasi cosa stia inviando questa mail potrebbe richiedere un'intercettazione e una registrazione di pacchetti a livello di rete. Questo è tutto possibile ma è un dolore nella parte posteriore.

  • Una volta esauriti i percorsi più probabili, fai una scelta tra software antivirus Linux . Non posso parlare personalmente per nessuno di loro o dei loro tassi di rilevamento.

Lavorare immediatamente attorno a un blocco

Se hai bisogno di continuare, il modo più semplice per continuare a inviare email è attraverso una sorta di connessione offuscata o crittografata. Se hai accesso a un server SSH (ad es. Al lavoro), spesso può essere il metodo migliore.

ssh -D9100 user@host

Quindi modifica il tuo client di posta elettronica per utilizzare un indirizzo proxy SOCKS localhost , porta 9100 . Il tuo ISP non sarà in grado di interferire con questo e sarei molto sorpreso se qualsiasi cosa inviasse lo spam potrebbe indovinare la configurazione di SOCKS.

Che cosa è più probabile in questo caso ...?

Controllare se è possibile inviare e-mail tramite il server SMTP del proprio ISP. Ho controllato, il tuo ne ha uno. Potrebbero costringere tutti i loro utenti a usarlo perché è molto comune. La persona del supporto tecnico potrebbe essere semplicemente confusa.

Chiedi a un altro utente (con un altro account, su un'altra linea telefonica) di provare a connettersi all'SMTP della tua azienda. Questo può essere fatto rapidamente con telnet example.com 25 .

  • Se non riescono a connettersi, supponiamo che questo sia a livello di ISP, non solo il tuo account, quindi probabilmente non è un problema di sicurezza ... È solo qualcosa con cui lavorare o lavorare meglio.

  • Se possono connettersi, si torna al punto di partenza. C'è stato qualcosa che inviava email dalla tua rete che ha fatto scattare l'ISP a bloccarti. Qui trovate virus, monitoraggio del traffico e paranoia sono i tuoi migliori amici qui.

risposta data Oli 25.03.2014 - 17:54
8

È certamente possibile essere infetti e parte di una botnet in Ubuntu. Ma è anche molto improbabile.

Dovresti essere in grado di chiedere al tuo ISP per i loro record. Ti aiuteranno a trovare il problema. È difficile da diagnosticare da qui, ma il tuo wireless ha buone probabilità di essere il responsabile. Verifica di utilizzare WPA2 per la sicurezza e WPS è disabilitato.

Dopo aver risolto il problema e interrotto l'invio di spam per un po ', puoi probabilmente convincere il tuo ISP a sbloccare le porte.

    
risposta data Javier Rivera 25.03.2014 - 17:57
5

È prassi comune bloccare la porta in uscita 25, in quanto a causa dello spamming è piuttosto scoraggiato l'invio originale di e-mail. È ancora usato tra i server di posta.

La porta corretta (e tipicamente non bloccata) per inviare email (originale) è la porta 587, la cosiddetta porta di sottomissione. In genere i provider di posta lo supportano, in genere gli operatori di sistema non lo bloccano.

    
risposta data fstd 26.03.2014 - 15:58
4

Molti ISP bloccano le porte 25 e 80 per tutti i loro account consumer. Io uso un servizio di web hosting che include il servizio di posta elettronica. mi forniscono un server smtp su una porta non standard per la posta in uscita. Funziona ovunque. Potresti avere accesso a qualcosa di simile. Pensa a quali servizi hai già e studiali.

    
risposta data Marc 25.03.2014 - 17:51
2

Molte altre risposte si concentrano su qualcuno che usa il wifi o che infetta le macchine. Questi sono possibili ma trascurano la spiegazione più semplice (il rasoio di Occam ...).

Probabilmente ti stai comportando come un relay aperto, il che significa che chiunque nel mondo può connettersi alla tua macchina e chiedere semplicemente di inviare posta da qualche parte, e lo farai, senza fare domande. Questo è spesso il motivo per cui gli ISP ti bloccheranno perché è un test semplice da fare per loro. Esamineranno il blocco IP del cliente e chiederanno qualsiasi cosa sulla porta 25 per trasmettere un messaggio di test e se lo fai, sei uno spammer. Può accadere che nessuno stia effettivamente usando il tuo relay, ma la sua semplice esistenza è sufficiente per essere bloccato.

Per verificare se sei un relay aperto, telnet al tuo server di posta e parla con esso. Le linee in grassetto sono quelle che scrivi.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

Le linee digitate sono helo , mail from: e rcpt to: linee. Assicurati di utilizzare indirizzi che non sono locali, entrambi devono essere host remoti. Se non ricevi l'errore 554 relay denied , allora sei un gateway spam configurato male e correttamente bloccato.

Il modo più semplice per ovviare a questo è richiedere l'autenticazione per inviare la posta tramite il MTA. I dettagli per impostare questo dipendono dal MTA in esecuzione, un dettaglio che non è presente nella domanda.

    
risposta data casey 26.03.2014 - 21:46
0

Solo per assicurarti di non avere problemi di esecuzione sulla tua macchina o rete Linux.

Controlla tu stesso la tua rete

Inizia eseguendo questo sul tuo computer Linux a casa:

netstat -ta

Questo elencherà tutte le connessioni TCP che sono stabilite o in ascolto (con i server dietro di loro). Se c'è qualcosa che non ti aspetti, dovresti investigare ulteriormente.

Un altro comando molto utile che elencerebbe tutti i processi con le connessioni Internet che hanno tenuto aperto è:

sudo lsof -i

(sarà necessario aver installato il pacchetto lsof .)

Nota che i test precedenti non coprono altri dispositivi che condividono la tua connessione Internet: telefono, tablet, gadget abilitati a Internet, pigybacking vicini sulla tua connessione ecc. come menzionato da Oli. Se si dispone di un elenco dei propri IP interni, è possibile eseguire una scansione esterna su ciascuno di essi, uno per uno, dalla propria macchina Linux:

sudo nmap <internal-ip-address>

(richiede il pacchetto nmap ). Potrebbe rivelare porte e servizi aperti su vari dispositivi di cui potresti non essere a conoscenza.

    
risposta data arielf 29.03.2014 - 01:45

Leggi altre domande sui tag