ISP บล็อกพอร์ต 25 เนื่องจากสแปม

20

คำถามหลัก:

เป็นไปได้ไหมที่จะติดซอฟท์แวร์บอท / สแปมบน Ubuntu (หรือ distro อื่น ๆ )?

รายละเอียด:

ISP ของฉันบล็อกพอร์ต 25 (และ 465) สำหรับการเชื่อมต่อขาออก (การเชื่อมต่อขาออกจากบ้านไปยังเซิร์ฟเวอร์ระยะไกล) ถึง SMTP ดังนั้นฉันจึงไม่สามารถใช้อีเมลธุรกิจจากที่บ้านได้ในตอนนี้ เหตุผลของพวกเขาในการบล็อกฉันคือ: "เพราะคุณส่งสแปม" ซึ่งฉันไม่ได้และพวกเขาบอกฉันว่าถ้าฉันไม่ได้ส่งระบบปฏิบัติการของฉันอาจติดเชื้อ ...

ฉันสามารถใช้รายการเครื่องมือและคู่มือที่ครอบคลุมเพื่อตรวจสอบระบบ ( Ubuntu 13.10 14.04 64 บิต ) สำหรับการแทรกซึม / มัลแวร์ / รูทคิท

PS

  • ฉันยังติดตั้ง Windows 8.1 (64 บิต) เพียงเพราะฉันชอบเล่นเกมบนคอมพิวเตอร์ที่บ้านของฉัน ... แต่นั่นคือสิ่งที่ฉันทำบน Windows เท่านั้น ... เมื่อฉันมีเวลา ...

  • ไร้สายปิดอยู่และถึงแม้ว่ามันจะผ่านการป้องกัน

  • การสแกนหน้าต่างไม่ได้เปิดเผยอะไรเลยและไม่ควรมีเนื่องจาก
    มีการติดตั้ง windows และเกมไว้ที่นั่น

  • ฉันสามารถเชื่อมต่อกับพอร์ตอื่นสำหรับ SMTP ได้ แต่เซิร์ฟเวอร์ของเราใช้ 25 และไม่สามารถเปลี่ยนได้

  • ฉันยังทดสอบการเชื่อมต่อกับพอร์ต 25 จาก Windoze (โดยใช้ Thunderbird)

  • ฉันใช้ธันเดอร์เบิร์ดสำหรับไคลเอนต์อีเมลบนอูบุนตูและทำการทดสอบอื่น ๆ เพื่อยืนยันว่ามันไม่ใช่สายฟ้าที่ผิดพลาด

  • การโทรออกยังหมดเวลาเชื่อมต่อ ...

แก้ไข: ISP ของฉันยังคงปฏิเสธที่จะปลดบล็อคฉัน ... บางทีฉันอาจต้องเปิด 587 บนเซิร์ฟเวอร์เนื่องจากไม่ได้ถูกบล็อกในขณะนี้ (ฉันยังสามารถใช้ Gmail ได้)

แก้ไข 2:

ฉันเดาว่าวันนี้ฉันเชื่อมต่อกับเทคโนโลยีอื่นจากการสนับสนุนของ ISP และบอกฉันว่าไม่มีบล็อกจากพวกเขา ... ฉันโกรธ !!! ฉันไม่รู้ว่าเทคโนโลยีก่อนหน้านี้กำลังทำอะไรอยู่ ... บางทีเขาอาจจะใหม่และกำลังอ่านจากสคริปต์ ..

ดังนั้นฉันจึงทดสอบ ISP อื่นด้วยการปล่อยสัญญาณจากโทรศัพท์ของฉันและฉันก็ประสบความสำเร็จในการจัดการอีเมลผ่านพอร์ต 25 โดยพื้นฐานแล้วฉันไม่ได้เปลี่ยนแปลงอะไรเลยเพียง ISP พวกเขาล้อเล่นกับฉันหรือเปล่า บางทีฝ่ายสนับสนุนด้านเทคนิคไม่ทราบวิธีตีความสิ่งที่พวกเขาดูบนหน้าจอของพวกเขาสำหรับบัญชีของฉันหรืออาจเป็นอย่างอื่น

อีกขั้นตอนหนึ่งที่ฉันทำคือรีเซ็ตเราเตอร์ของฉันให้เป็นค่าเริ่มต้นและรับ IP แบบไดนามิกอื่น ยังคงไม่มีการเชื่อมต่อกับพอร์ต 25

ฉันวางแผนที่จะรับเราท์เตอร์มือสองจากเพื่อนหรือทดสอบกับเราเตอร์อื่นเพื่อให้แน่ใจว่าปัญหาเกิดขึ้นกับ ISP ของฉัน

แก้ไข 3: ไม่นานมานี้ตั้งแต่ฉันอัปเดตคำถามนี้ครั้งสุดท้าย ฉันย้ายกลับไปที่บ้านเก่าของฉัน (ซึ่งอยู่ในส่วนต่าง ๆ ของประเทศ) ซึ่งฉันมีผู้ให้บริการอินเทอร์เน็ตรายเดียวกัน บริษัท เดียวกัน !! การตั้งค่าของฉันทำงานได้อย่างที่คาดไว้ ฉันสามารถส่งอีเมลได้ดีโดยใช้พอร์ต 25 ฉันคิดว่าปัญหาเกิดขึ้นกับเราเตอร์ ZTE ที่น่ารังเกียจที่ ISP ส่งมอบให้กับลูกค้าใหม่

smtp 
Petsoukos
แหล่งที่มา
คุณต้องการบางอย่างเช่นbarracuda.com/products/spamfirewallนี้แต่มีราคาแพง
Tasos
คุณอาจจะชอบnmap somehost/24 -p 25อะไร
d33tah
นอกเหนือจากคำตอบอื่น ๆ แล้ว ISP อาจทำสิ่งที่ ISP ส่วนใหญ่ทำอยู่ในขณะนี้ - พวกเขาบล็อก SMTP ขาออกทั่วโลก ISP ของคุณมีเซิร์ฟเวอร์ smtp ที่คุณสามารถถ่ายทอดได้หรือไม่? เช่น stmp [isp.com]?
jqa
1
คุณกำหนดค่าเมลเซิร์ฟเวอร์ของคุณให้ไม่ส่งต่อเมลจากที่อื่นหรือไม่?
Shadur
1
นี่คือโลกของซอฟต์แวร์มนุษย์ในโลกไซเบอร์ทุกอย่างเป็นไปได้ระบบปฏิบัติการไม่สามารถกลายเป็นภูมิคุ้มกันได้ 'ไวรัส' เป็นเพียงชื่อโปรแกรมที่คนคิดรหัสซึ่งคุณกำลังถามว่า "โปรแกรมของคนทำงานได้หรือไม่ อูบุนตู "- แน่นอน!
pythonian29033

คำตอบ:

32

เป็นไปได้ไหม

ทำไมถึงไม่เป็นเช่นนั้น? อูบุนตูเป็นระบบที่มีความยืดหยุ่นสูงซึ่งแบ่งปันปัญหามากมายกับระบบปฏิบัติการส่วนใหญ่:

  • ซอฟต์แวร์ใน Ubuntu สามารถถูกโจมตีได้
  • คุณไม่จำเป็นต้องรูทเพื่อใช้งานดีมอนสแปม
  • ผู้คนสามารถถอดรหัสการตรวจสอบที่อ่อนแอ
  • ผู้ใช้ Ubuntu สามารถมั่นใจในการติดตั้ง / ใช้งานได้ทุกอย่าง
  • เมื่อเข้ามาแล้วแฮกเกอร์สามารถอัพโหลด / ดาวน์โหลดซอฟต์แวร์จากระยะไกลเพื่อส่งสแปม

มาเป็นจริงกันเถอะเกี่ยวกับความปลอดภัยที่นี่ การเอาเปรียบ Flash ข้ามแพลตฟอร์มสามารถแปลเป็นการโหลดอย่างง่ายและติดตั้งดีมอนสแปมที่รันตัวเองในการเข้าสู่ระบบ ไม่ต้องการรูท

ตรวจสอบเรื่องราวของ ISP อีกครั้ง

"แต่ ISP ของฉันจะไม่โกหกฉัน!" ไม่มีใครเคยพูด ISP ในบ้านหลายแห่งมักปิดกั้นพอร์ต 25 และอื่น ๆ บังคับให้คุณใช้เซิร์ฟเวอร์ SMTP (นั่นคือการเชื่อมต่อ p25 ขาออกเท่านั้นที่พวกเขาจะอนุญาต)

การเป็นผู้ดูแลทำให้ฉันเห็น IP ของคุณและฉันได้ตรวจสอบ ISP ที่บ้านของคุณแล้ว หากคุณ google ชื่อและ "พอร์ต 25" หรือ "smtp" คุณจะเห็นผู้คนจำนวนมากในสถานการณ์ที่คล้ายกัน และพวกเขามีเซิร์ฟเวอร์ SMTP กลาง

ฉันรู้ว่าคุณบอกว่านี่เป็นปัญหาใหม่ แต่เพียงตรวจสอบอีกครั้งว่าไม่ใช่ ISP ของคุณ (หรือต้องการการตั้งค่าที่ถูกต้องขณะที่ใช้ ISP) วิธีแก้ปัญหาในตอนท้ายยังคงใช้ได้ผลสำหรับคุณ

การค้นหาปัญหา

แม้ว่าจะเป็นไปได้ แต่ฉันก็ยังไม่แน่ใจว่าเป็นเป้าหมายที่เป็นไปได้มากที่สุด หากคุณเป็นอะไรที่เหมือนกับฉันคุณกำลังล้อมรอบด้วยอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตและคุณต้องมองพวกเขาทั้งหมด

ฉันจะเริ่มด้วยการขอหลักฐานจากผู้ให้บริการอินเทอร์เน็ต การประทับเวลาน้อยที่สุด แต่จะเป็นการดีหากได้เห็นสิ่งที่พวกเขาใช้เพื่อให้แน่ใจว่าไม่ใช่การตั้งค่าสถานะอัตโนมัติผิด

  • อาจเป็นไปได้ว่ามีใครบางคนตั้งค่าอีเมลการทำงานกับแผนกการละเมิดของ ISP
  • คุณจำเป็นต้องรู้ว่าคุณใช้ระบบปฏิบัติการใดในเวลานั้น ทั้ง Ubuntu และ Windows เก็บบันทึกการตรวจสอบเพื่อเปรียบเทียบกับหลักฐานที่พวกเขาสามารถส่งให้คุณได้

  • ล็อกเอาต์พอร์ต 25 กิจกรรมด้วยสิ่งต่อไปนี้ :

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    ฉันไม่แน่ใจว่าจะใช้งานได้จริงหรือไม่หากคุณถูกบล็อก แต่ก็คุ้มค่ากับการยิง ไฟร์วอลล์ Windows ที่หลากหลายจะเสนอทางเลือกการบันทึกที่หลากหลายให้คุณ

  • โปรดทราบว่าอุปกรณ์ใด ๆในการเชื่อมต่อของคุณอาจส่งอีเมลไม่ใช่เฉพาะคอมพิวเตอร์ของคุณ โทรศัพท์, เครื่องปิ้งขนมปังที่เปิดใช้งาน wifi, เพื่อนบ้านซุกซน, ฯลฯ การค้นหาสิ่งที่ส่งจดหมายนี้อาจต้องมีการสกัดกั้นแพ็คเก็ตระดับเครือข่ายและการบันทึก ทั้งหมดนี้เป็นไปได้ แต่ก็ปวดด้านหลัง

  • เมื่อคุณได้หมดมีโอกาสมากขึ้นลู่ทางเวลาเลือกของคุณของซอฟแวร์ป้องกันไวรัสลินุกซ์ ฉันไม่สามารถพูดเพื่อพวกเขาเองหรืออัตราการตรวจจับของพวกเขา

หลีกเลี่ยงการบล็อกทันที

หากคุณต้องการดำเนินการต่อวิธีที่ง่ายที่สุดในการส่งอีเมลคือผ่านการเชื่อมต่อที่สับสนหรือเข้ารหัส หากคุณสามารถเข้าถึงเซิร์ฟเวอร์ SSH (เช่นที่ทำงาน) ที่มักจะเป็นวิธีที่ดีที่สุด

ssh -D9100 user@host

จากนั้นเพียงแค่เปลี่ยนไคลเอนต์อีเมลของคุณเพื่อใช้localhostพอร์ตที่อยู่พร็อกซี SOCKS9100พอร์ตISP ของคุณจะไม่สามารถแทรกแซงสิ่งนี้และฉันจะประหลาดใจมากหากสิ่งใดก็ตามที่ส่งสแปมสามารถคาดเดาการตั้งค่า SOCKS ได้

ในกรณีนี้มีโอกาสมากที่สุด ... ?

ตรวจสอบว่าคุณสามารถส่งอีเมลผ่านเซิร์ฟเวอร์ SMTP ของ ISP หรือไม่ ฉันได้ตรวจสอบแล้วคุณมี พวกเขาอาจบังคับให้ผู้ใช้ทุกคนใช้งานได้ตามปกติ ผู้สนับสนุนเทคโนโลยีอาจจะสับสน

ขอให้ผู้ใช้รายอื่น (ด้วยบัญชีอื่นในสายโทรศัพท์อื่น) ลองเชื่อมต่อกับ SMTP ของ บริษัท คุณ telnet example.com 25ซึ่งสามารถทำได้อย่างรวดเร็วด้วย

  • หากพวกเขาไม่สามารถเชื่อมต่อได้ให้ถือว่านี่เป็น ISP ทั่วทั้งนั่นไม่ใช่แค่บัญชีของคุณดังนั้นมันอาจไม่ใช่ปัญหาด้านความปลอดภัย ... มันเป็นเพียงบางสิ่งที่คุณจะต้องทำงานหรือจัดการกับมัน

  • หากพวกเขาสามารถเชื่อมต่อคุณกลับมาที่จัตุรัสหนึ่ง มีบางอย่างที่ส่งอีเมลจากเครือข่ายของคุณซึ่งกระตุ้นให้ ISP ของคุณบล็อกคุณ การกวาดของไวรัสการติดตามการจราจรและความหวาดระแวงเป็นเพื่อนที่ดีที่สุดของคุณที่นี่

Oli
แหล่งที่มา
1
อันที่จริงผู้ให้บริการอินเทอร์เน็ตบางรายเพียงปิดกั้นไว้ตามนโยบายเพื่อให้เป็นไปได้มากที่สุดดังนั้นคุณควรขอหลักฐาน หากมีบางสิ่งในเครือข่ายภายในบ้านของคุณกำลังส่งการค้นพบนั้นไม่ใช่เรื่องง่าย
psusi
ฉันจะยอมรับสิ่งนี้เป็นคำตอบเนื่องจากมีข้อมูลที่เป็นประโยชน์ ฉันตรวจสอบการติดตั้ง windows ด้วยเครื่องมือสแกนต่าง ๆ ... มันไม่พบอะไรเลย ไม่แม้แต่จะติดตามคุกกี้ ... สำหรับการติดตั้ง Ubuntu ของฉันฉันเพียงแค่เรียกใช้เครื่องมือ rkhunter และไม่พบสิ่งใดเลย ... (โปรดแจ้งให้เราทราบหากมีเครื่องมืออื่นที่ฉันสามารถลองได้ในสถานการณ์เฉพาะของฉัน)
Petsoukos
@Petsoukos rkhunterผมอาจจะเป็นที่โปรดปรานป้องกันไวรัสสแกนจริงกว่าเครื่องมือเช่น บางทีฉันอาจไม่ยุติธรรม แต่ฉันไม่นับพวกเขาในลีกเดียวกันกับแต่ละอื่น ๆ
Oli
คำตอบนี้สามารถมองเห็นความเป็นไปได้ว่าเขาเป็นผู้ส่งสแปมแบบเปิด มันเป็นข้อมูลที่ดี แต่อาจช่วยให้เขาสามารถเข้าถึงเครื่องที่กำหนดค่าผิดพลาดได้
casey
@casey ฉันไม่ได้ข้อสรุปจากคำถาม เลย มันกล่าวถึงการเชื่อมต่อกับเซิร์ฟเวอร์ทำงานที่รองรับเฉพาะพอร์ต 25 ...
Oli
8

แน่นอนว่าเป็นไปได้ที่จะติดเชื้อและเป็นส่วนหนึ่งของ botnet ใน Ubuntu แต่มันก็ไม่น่าเป็นไปได้เช่นกัน

คุณควรจะสามารถขอ ISP ของคุณสำหรับบันทึกของพวกเขา พวกเขาจะช่วยคุณค้นหาปัญหา มันยากที่จะวินิจฉัยจากที่นี่ แต่ไร้สายของคุณมีโอกาสดีที่จะเป็นผู้ร้าย โปรดตรวจสอบว่าคุณใช้ WPA2 เพื่อความปลอดภัยและWPSถูกปิดใช้งาน

หลังจากที่คุณแก้ไขปัญหาและหยุดส่งสแปมชั่วขณะหนึ่งคุณอาจพูดคุยกับ ISP ของคุณเกี่ยวกับการปลดบล็อกพอร์ตของคุณ

Javier Rivera
แหล่งที่มา
3
"โปรดตรวจสอบว่าคุณใช้ WPA" WEP และ WPA มีความเสี่ยง ฉันต้องแน่ใจว่าคุณกำลังใช้งาน WPA2
MiniRagnarok
ฉันได้ทำการแก้ไขเนื่องจากฉันยอมรับว่า WPA2 ปลอดภัยยิ่งขึ้น แต่ AFAIK นั้นไม่มีช่องโหว่ที่ทราบใน WPA ที่สามารถอนุญาตให้คุณเชื่อมต่อกับเครือข่ายได้
Javier Rivera
การสนับสนุนด้านเทคนิคของ ISP ของฉันอาจไม่ทราบว่าฉันกำลังพูดถึงอะไรเมื่อฉันพูดกับพวกเขา ...
Petsoukos
5

เป็นเรื่องธรรมดาที่จะบล็อกพอร์ตที่ส่งออก 25 เนื่องจากการสแปมส่งผลให้เกิดความกังวลว่าการส่งอีเมลดั้งเดิมจะไม่เป็นที่ยอมรับ มันยังคงใช้ระหว่างเซิร์ฟเวอร์อีเมล

พอร์ต (และโดยทั่วไปจะไม่ถูกบล็อก) พอร์ตสำหรับส่งอีเมล (ดั้งเดิม) คือพอร์ต 587 ซึ่งเป็นพอร์ตส่งที่เรียกว่า โดยทั่วไปแล้วผู้ให้บริการจดหมายจะสนับสนุนระบบดังกล่าวโดยปกติผู้ให้บริการระบบจะไม่ปิดกั้น

FSTD
แหล่งที่มา
4

ISP หลายรายปิดกั้นพอร์ต 25 และ 80 สำหรับบัญชีผู้บริโภคทั้งหมด ฉันใช้บริการเว็บโฮสติ้งที่มีบริการอีเมล พวกเขาจัดหาเซิร์ฟเวอร์ smtp ให้ฉันบนพอร์ตที่ไม่ได้มาตรฐานสำหรับอีเมลขาออก มันทำงานได้ทุกที่ คุณอาจเข้าถึงสิ่งที่คล้ายกันได้เป็นอย่างดี คิดเกี่ยวกับบริการที่คุณมีอยู่แล้วและตรวจสอบพวกเขา

มาร์ค
แหล่งที่มา
2

คำตอบอื่น ๆ อีกมากมายมุ่งเน้นไปที่คนที่ใช้ WiFi หรือติดเครื่องของคุณ สิ่งเหล่านี้เป็นไปได้ แต่พวกเขามองข้ามคำอธิบายที่ง่ายที่สุด (Occam's razor ... )

คุณน่าจะทำหน้าที่เป็นรีเลย์เปิดซึ่งหมายความว่าทุกคนในโลกสามารถเชื่อมต่อกับเครื่องของคุณและขอให้มันส่งจดหมายไปที่ไหนสักแห่งและคุณจะทำได้ไม่มีคำถามที่ถาม นี่เป็นสาเหตุที่ผู้ให้บริการอินเทอร์เน็ตมักบล็อกคุณเพราะเป็นการทดสอบที่ง่ายสำหรับพวกเขา พวกเขาจะสแกนบล็อก IP ของลูกค้าและถามอะไรก็ได้ที่พอร์ต 25 เพื่อส่งต่อข้อความทดสอบและถ้าคุณทำคุณเป็นผู้ส่งสแปม อาจเป็นกรณีที่ไม่มีใครใช้รีเลย์ของคุณ แต่การมีอยู่ของมันนั้นเพียงพอที่จะถูกบล็อก

เพื่อทดสอบว่าคุณเป็นรีเลย์แบบเปิดหรือไม่ให้ telnet ไปยังเมลเซิร์ฟเวอร์ของคุณและพูดคุยกับมัน เส้นหนาเป็นเส้นที่คุณพิมพ์

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

บรรทัดที่คุณพิมพ์เป็นhelo, mail from:และrcpt to:สาย ตรวจสอบให้แน่ใจว่าคุณใช้ที่อยู่ที่ไม่ได้อยู่ในพื้นที่ของคุณทั้งคู่ต้องเป็นโฮสต์ระยะไกล หากคุณไม่ได้รับข้อผิดพลาดแสดง554 relay deniedว่าคุณเป็นเกตเวย์สแปมที่กำหนดค่าผิดพลาดและถูกบล็อกอย่างถูกต้อง

วิธีที่ง่ายที่สุดในการแก้ไขปัญหานี้คือต้องการการรับรองความถูกต้องในการส่งจดหมายผ่าน MTA ของคุณ รายละเอียดในการตั้งค่านี้ขึ้นอยู่กับ MTA ที่คุณกำลังทำงานรายละเอียดที่ไม่ปรากฏในคำถามของคุณ

เคซี่ย์
แหล่งที่มา
ฉันคิดว่าในกรณีนี้ฉันควรจะติดตั้งเซิร์ฟเวอร์อีเมลในเครื่องที่บ้านซึ่งฉันไม่มี แก้ไข? ฉันไม่ได้พยายามส่งจากเครื่องของฉันเป็นเซิร์ฟเวอร์เมล แต่ต้องการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล (นอกสถานที่) จริงของฉัน
Petsoukos
0

เพียงเพื่อให้แน่ใจว่าคุณไม่ได้มีบางสิ่งที่ทำงานบนกล่องหรือเครือข่าย Linux ของคุณ

ตรวจสอบเครือข่ายของคุณเอง

เริ่มต้นด้วยการรันสิ่งนี้บนเครื่อง Linux ที่บ้าน:

netstat -ta

นี่จะแสดงรายการการเชื่อมต่อ tcp ทั้งหมดที่ถูกสร้างขึ้นหรือกำลังฟัง (กับเซิร์ฟเวอร์ที่อยู่ด้านหลัง) หากมีสิ่งใดที่คุณไม่คาดหวังคุณควรตรวจสอบเพิ่มเติม

อีกคำสั่งที่มีประโยชน์มากที่จะแสดงรายการกระบวนการทั้งหมดที่มีการเชื่อมต่ออินเทอร์เน็ตที่พวกเขาจัดขึ้นเปิดคือ:

sudo lsof -i

(คุณจะต้องlsofติดตั้งแพ็คเกจ)

โปรดทราบว่าการทดสอบข้างต้นจะไม่ครอบคลุมอุปกรณ์อื่น ๆ ที่ใช้การเชื่อมต่ออินเทอร์เน็ตของคุณ: โทรศัพท์แท็บเล็ตแกดเจ็ตที่เปิดใช้งานอินเทอร์เน็ต หากคุณมีรายการ IP ภายในของคุณคุณอาจเรียกใช้การสแกนพอร์ตภายนอกที่แต่ละรายการจากกล่อง Linux ของคุณ:

sudo nmap <internal-ip-address>

(ต้องมีnmapแพ็คเกจ) มันอาจเปิดเผยพอร์ตและบริการที่เปิดอยู่บนอุปกรณ์ต่าง ๆ ที่คุณอาจไม่ทราบ

arielf
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.