ISP memblokir port 25 karena melakukan spamming

20

Pertanyaan utama:

Mungkinkah terinfeksi dengan bot / software spam di Ubuntu (atau distro lainnya)?

Detail:

ISP saya memblokir port saya 25 (dan 465) untuk koneksi keluar ( koneksi keluar, dari rumah ke server jauh) ke SMTP, jadi saya tidak dapat menggunakan email bisnis saya dari rumah sekarang. Alasan mereka untuk memblokir saya adalah: "karena Anda mengirim spam" yang bukan saya dan mereka mengatakan kepada saya bahwa jika saya tidak mengirim maka OS saya mungkin terinfeksi ...

Saya bisa menggunakan daftar lengkap alat dan panduan untuk memeriksa sistem ( Ubuntu 13.10 14.04 64bit ) untuk infiltrat / malware / rootkit.

PS

  • Saya juga menginstal Windows 8.1 (64bit) hanya karena saya juga suka bermain di komputer rumah saya ... tapi itu yang saya lakukan di Windows ... ketika saya punya waktu ...

  • Nirkabel tidak aktif dan bahkan jika itu terlewatinya dilindungi.

  • Pemindaian windows tidak mengungkapkan apa pun juga tidak seharusnya karena
    ada windows dan game yang diinstal di sana.

  • Saya dapat terhubung ke port lain untuk SMTP tetapi server kami menggunakan 25 dan itu tidak dapat berubah

  • Saya juga menguji koneksi ke port 25 dari windoze (menggunakan thunderbird)

  • Saya menggunakan thunderbird untuk klien email di ubuntu dan menguji beberapa lainnya hanya untuk memverifikasi bahwa itu bukan kesalahan konfigurasi thunderbird.

  • Telneting juga menghasilkan batas waktu koneksi ...

EDIT: ISP saya masih menolak untuk membuka blokir saya ... Mungkin saya harus membuka 587 di server, karena itu tidak diblokir saat ini (saya masih dapat menggunakan Gmail)

EDIT 2:

Saya kira hari ini saya terhubung dengan teknologi lain dari dukungan ISP saya dan mengatakan kepada saya bahwa tidak ada blok dari mereka ... Saya sangat marah !!! Saya tidak tahu apa yang dilakukan teknologi sebelumnya ... mungkin dia baru dan sedang membaca dari naskah ..

Jadi saya menguji ISP lain melalui tethering dari ponsel saya dan saya berhasil mengirim email melalui port 25. Pada dasarnya saya tidak mengubah apa pun, hanya ISP. Apakah mereka bercanda? Mungkin dukungan teknis tidak tahu bagaimana menafsirkan apa yang mereka cari di layar untuk akun saya atau mungkinkah itu sesuatu yang lain?

Langkah lain yang saya ambil adalah mereset sepenuhnya router saya ke pengaturan default dan mendapatkan IP dinamis lainnya. Masih tidak ada koneksi ke port 25.

Saya berencana untuk mendapatkan router bekas dari beberapa teman atau sesuatu untuk diuji dengan router lain hanya untuk memastikan masalahnya ada pada ISP saya.

EDIT 3: Sudah beberapa saat sejak pembaruan terakhir saya untuk pertanyaan ini. Saya pindah kembali ke rumah lama saya (yang berada di bagian berbeda negara) di mana saya memiliki penyedia internet yang sama. Perusahaan yang sama !! Pengaturan saya hanya berfungsi seperti yang diharapkan. Saya dapat mengirim email baik-baik saja menggunakan port 25. Saya yakin masalahnya adalah dengan router ZTE jahat yang ISP berikan kepada pelanggan baru.

smtp Petsoukos
sumber
Anda memerlukan sesuatu seperti ini barracuda.com/products/spamfirewall tetapi harganya mahal
Tasos
Mungkin Anda menjalankan sesuatu seperti nmap somehost/24 -p 25?
d33tah
Selain jawaban lain, ISP mungkin melakukan apa yang sebagian besar ISP lakukan sekarang - mereka secara global memblokir SMTP keluar. Apakah ISP Anda memiliki server smtp yang dapat Anda relay? misal stmp. [isp.com]?
jqa
1
Apakah Anda mengonfigurasi server email Anda untuk tidak mengirimkan email dari tempat lain?
Shadur
1
ini adalah dunia manusia perangkat lunak, di dalam dunia maya, segala sesuatu mungkin terjadi, OS tidak dapat menjadi kebal, 'virus' hanyalah nama untuk program rogure yang dikodekan oleh seseorang, Anda pada dasarnya bertanya "dapatkah program seseorang berjalan di ubuntu "- TENTU SAJA!
pythonian29033

Jawaban:

32

Apakah itu mungkin?

Kenapa tidak ? Ubuntu adalah sistem yang sangat fleksibel yang berbagi banyak masalah dengan sebagian besar sistem operasi lain:

  • Perangkat lunak di Ubuntu dapat dieksploitasi
  • Anda tidak perlu root untuk menjalankan daemon spam.
  • Orang-orang dapat memecahkan otentikasi yang lemah
  • Pengguna Ubuntu dapat diyakinkan untuk menginstal / menjalankan apa saja
  • Begitu masuk, peretas dapat mengunggah / mengunduh-jauh lebih banyak perangkat lunak untuk mengirim spam

Mari kita bersikap realistis tentang keamanan di sini. Eksploitasi Flash lintas-platform dapat dengan mudah diterjemahkan menjadi pemuat dropper dan menginstal daemon spam yang berjalan sendiri saat login. Tidak perlu root.

Periksa kembali kisah ISP

"Tapi ISP saya tidak akan berbohong kepada saya!" kata tidak ada yang pernah . Banyak ISP rumah biasanya memblokir port 25 dan yang lainnya memaksa Anda untuk menggunakan server SMTP mereka (itulah satu-satunya koneksi p25 keluar yang akan mereka ijinkan).

Menjadi moderator memungkinkan saya melihat IP Anda dan saya sudah memeriksa ISP rumah Anda. Jika Anda google nama dan "port 25" atau "smtp" mereka, Anda akan melihat banyak orang lain dalam situasi yang sama. Dan mereka memiliki server SMTP pusat.

Saya tahu Anda mengatakan ini adalah masalah baru tetapi periksa kembali itu bukan ISP Anda (atau memerlukan pengaturan yang tepat saat di ISP Anda). Solusi di akhir harus tetap bekerja untuk Anda.

Menemukan masalahnya

Meskipun mungkin, saya masih tidak yakin itu adalah target yang paling mungkin. Jika Anda seperti saya, Anda dikelilingi oleh perangkat yang terhubung internet dan Anda perlu melihat semuanya.

Saya akan mulai dengan meminta bukti kepada ISP. Stempel waktu minimum, tetapi akan lebih baik untuk melihat apa yang mereka gunakan untuk memastikan itu bukan bendera otomatis yang salah.

  • Bisa jadi seseorang telah menandai email kantor dengan departemen penyalahgunaan ISP.
  • Anda perlu tahu OS apa yang Anda gunakan saat itu. Baik Ubuntu dan Windows menyimpan log auth jadi bandingkan dengan bukti apa pun yang dapat mereka kirimkan kepada Anda.

  • Log aktivitas port keluar 25 dengan sesuatu seperti:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    Sejujurnya saya tidak yakin apakah itu akan berhasil jika Anda sudah diblokir tetapi itu layak dicoba. Berbagai firewall Windows akan menawarkan Anda berbagai alternatif logging.

  • Perhatikan bahwa perangkat apa pun pada koneksi Anda dapat mengirim email, bukan hanya komputer Anda. Telepon, pemanggang roti yang diaktifkan wifi, tetangga nakal, dll. Menemukan apa pun yang mengirim email ini mungkin memerlukan intersepsi paket tingkat jaringan dan pencatatan. Ini semua mungkin tapi itu sakit di belakang.

  • Begitu Anda sudah kehabisan kesempatan, pilih perangkat lunak antivirus Linux Anda . Saya tidak bisa berbicara secara pribadi untuk mereka atau tingkat deteksi mereka.

Segera kerjakan satu blok

Jika Anda perlu melanjutkan, cara termudah untuk melakukan pengiriman email adalah melalui semacam koneksi yang dikaburkan atau dienkripsi. Jika Anda memiliki akses ke server SSH (misalnya di tempat kerja) yang sering kali bisa menjadi metode terbaik.

ssh -D9100 user@host

Kemudian, ubah saja klien email Anda untuk menggunakan alamat proxy SOCKS localhost, port 9100. ISP Anda tidak akan dapat mengganggu ini dan saya akan sangat terkejut jika apa pun yang mengirim spam dapat menebak konfigurasi SOCKS.

Apa yang paling mungkin dalam kasus ini ...?

Periksa untuk melihat apakah Anda dapat mengirim email melalui server SMTP ISP Anda. Saya sudah memeriksa, punya Anda. Mereka mungkin memaksa semua pengguna untuk menggunakannya karena itu sangat umum. Orang dukungan teknis mungkin hanya akan bingung.

Tanyakan pengguna lain (dengan akun lain, pada saluran telepon lain) untuk mencoba menghubungkan ke SMTP perusahaan Anda. Ini bisa dilakukan dengan cepat telnet example.com 25.

  • Jika mereka tidak dapat terhubung, anggap ini adalah ISP-wide-bukan hanya akun Anda-jadi itu mungkin bukan masalah keamanan ... Itu hanya sesuatu yang Anda akan kerjakan atau kerjakan.

  • Jika mereka dapat terhubung, Anda kembali di titik awal. Ada sesuatu yang mengirim email dari jaringan Anda yang telah memicu ISP Anda untuk memblokir Anda. Penyapu virus, pemantauan lalu lintas, dan paranoia adalah teman baik Anda di sini.

Oli
sumber
1
Memang, beberapa ISP hanya memblokirnya sebagai masalah kebijakan sehingga kemungkinan besar, dan Anda harus meminta bukti. Jika sesuatu di jaringan rumah Anda benar-benar mengirimkan rentang, menemukan itu tidak mudah.
psusi
Saya akan menerima ini sebagai jawaban karena mengandung informasi yang berguna. Saya memeriksa instalasi windows saya dengan berbagai alat pemindaian ... tidak menemukan apa pun. Bahkan tidak melacak cookie ... Adapun untuk instalasi Ubuntu saya, saya hanya menjalankan alat rkhunter dan tidak menemukan apa-apa juga ... (tolong beri tahu saya jika ada alat lain yang dapat saya coba untuk situasi spesifik saya)
Petsoukos
@ Petsoukos Saya mungkin lebih suka antivirus pemindaian yang sebenarnya daripada alat seperti rkhunter. Mungkin saya tidak adil tetapi saya tidak menghitungnya dalam liga yang sama satu sama lain.
Oli
Jawaban ini mengabaikan kemungkinan bahwa ia adalah relai spam terbuka. Ini adalah informasi yang baik tetapi mungkin hanya membantunya menjaga mesinnya yang salah konfigurasi dapat diakses.
Casey
@casey Saya tidak mencapai kesimpulan itu dari pertanyaan. Sama sekali. Disebutkan menghubungkan ke server kerja yang hanya mendukung port 25 ...
Oli
8

Tentunya mungkin terinfeksi dan menjadi bagian dari botnet di Ubuntu. Tapi itu juga sangat sangat tidak mungkin.

Anda harus dapat meminta catatan mereka kepada ISP Anda. Mereka akan membantu Anda menemukan masalah. Sulit untuk mendiagnosisnya dari sini, tetapi nirkabel Anda memiliki peluang bagus untuk menuduh pelaku. Harap periksa bahwa Anda menggunakan WPA2 untuk keamanan dan WPS dinonaktifkan.

Setelah Anda menyelesaikan masalah Anda dan berhenti mengirim spam untuk sementara waktu, Anda mungkin dapat berbicara dengan ISP Anda untuk membebaskan port Anda.

Javier Rivera
sumber
3
"Silakan periksa apakah Anda menggunakan WPA." WEP dan WPA rentan. Saya akan memastikan Anda menjalankan WPA2.
MiniRagnarok
Saya telah mengeditnya karena saya setuju bahwa WPA2 lebih aman. Tetapi AFAIK tidak ada kerentanan yang diketahui dalam WPA yang dapat memungkinkan Anda untuk terhubung ke jaringan (singkat memaksa kata sandi pendek atau menggunakan WPS untuk mendapatkan kata sandi).
Javier Rivera
Dukungan teknis ISP saya mungkin tidak tahu apa yang saya bicarakan ketika saya berbicara dengan mereka ...
Petsoukos
5

Ini adalah praktik umum untuk memblokir port keluar, karena masalah spamming itu menjadi tidak disarankan untuk pengiriman Email asli. Itu masih digunakan antara server mail.

Port yang tepat (dan biasanya tidak diblokir) untuk mengirimkan Email (asli) adalah Port 587, yang disebut port pengiriman. Penyedia surat biasanya mendukungnya, operator sistem biasanya tidak memblokirnya.

fstd
sumber
4

Banyak ISP memblokir port 25 dan 80 untuk semua akun konsumen mereka. Saya menggunakan layanan hosting web yang mencakup layanan email. mereka memberi saya server smtp pada port non-standar untuk email keluar. Ini bekerja di mana saja. Anda mungkin memiliki akses ke sesuatu yang serupa. Pikirkan tentang layanan apa yang sudah Anda miliki, dan selidiki.

Marc
sumber
2

Banyak jawaban lain fokus pada seseorang yang menggunakan wifi Anda atau menginfeksi komputer Anda. Ini mungkin tetapi mereka mengabaikan penjelasan paling sederhana (pisau cukur Occam ...).

Anda kemungkinan besar bertindak sebagai relay terbuka, yang berarti bahwa siapa pun di dunia ini dapat terhubung ke mesin Anda dan hanya meminta dengan baik untuk mengirim email ke suatu tempat, dan Anda akan melakukannya, tanpa pertanyaan. Inilah sebabnya mengapa ISP akan memblokir Anda karena ini adalah tes sederhana yang harus mereka lakukan. Mereka akan memindai blok IP pelanggan mereka dan menanyakan apa pun pada port 25 untuk menyampaikan pesan pengujian dan jika Anda melakukannya, Anda adalah seorang spammer. Mungkin memang tidak ada yang benar-benar menggunakan relay Anda, tetapi keberadaannya saja sudah cukup untuk diblokir.

Untuk menguji apakah Anda relay terbuka, telnet ke server email Anda dan bicaralah dengannya. Garis tebal adalah yang Anda ketikkan.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

Garis yang Anda ketikkan adalah helo, mail from:dan rcpt to:garis. Pastikan Anda menggunakan alamat yang bukan lokal bagi Anda, keduanya harus merupakan host jarak jauh. Jika Anda tidak mendapatkan kesalahan 554 relay denied, maka Anda adalah gateway spam yang salah konfigurasi dan diblokir dengan benar.

Cara paling sederhana untuk memperbaiki ini adalah dengan memerlukan otentikasi untuk mengirim email melalui MTA Anda. Detail untuk mengatur ini tergantung pada MTA yang Anda jalankan, detail yang tidak ada dalam pertanyaan Anda.

casey
sumber
Saya pikir dalam hal ini saya harus memiliki server mail yang diinstal pada mesin rumah saya yang saya tidak punya. Benar? Saya tidak mencoba mengirim dari komputer saya sebagai server surat, tetapi untuk terhubung ke server jarak jauh (di luar situs) saya yang sebenarnya.
Petsoukos
0

Hanya untuk memastikan Anda tidak memiliki sesuatu yang buruk berjalan di kotak atau jaringan Linux Anda.

Periksa sendiri jaringan Anda

Mulailah dengan menjalankan ini di mesin Linux Anda di rumah:

netstat -ta

Ini akan mencantumkan semua koneksi tcp yang dibuat atau didengarkan (dengan server di belakangnya). Jika ada sesuatu yang tidak Anda harapkan, Anda harus menyelidiki lebih lanjut.

Perintah lain yang sangat berguna yang akan mendaftar semua proses dengan koneksi internet yang mereka buka adalah:

sudo lsof -i

(Anda perlu lsofmenginstal paket.)

Perhatikan bahwa tes di atas tidak akan mencakup perangkat lain yang berbagi koneksi internet Anda: telepon, tablet, gadget yang mendukung internet, tetangga yang membonceng koneksi Anda dll. Seperti yang disebutkan Oli. Jika Anda memiliki daftar IP internal Anda, Anda dapat menjalankan pemindaian port eksternal pada masing-masing IP tersebut, satu per satu, dari kotak Linux Anda:

sudo nmap <internal-ip-address>

(membutuhkan nmappaket). Mungkin mengungkapkan port dan layanan terbuka di berbagai perangkat yang mungkin tidak Anda sadari.

diri sendiri
sumber