» Почтовый сервер постоянно поадает в blacklist (CBL)

почтовый сервер постоянно попадает в blacklist (CBL)
сервер на Feebsd стоит postfix .
я новичок как в FreeBSD и Postfix . пока только освоил администрирование через вэбку

для начала я так понимаю нужно выявить кто есть первоисточником спама .прошу помощи в данном вопросе . Подскажите как промониторить от кого идет рассылка?

djayson Для начала на фаере закрой 25 порт наружу для всех, кроме почтовика. Проверь почтовик на открытый релей http://www.mailradar.com/openrelay/
tcpdump или любым снифером лови коннекты на 25 порт из локалки.

ipmanyak
еще такой нубский вопрос .не нашел как на моем роутере пеерекрывать порты для локальных узлов .роутер TP-link 5120 .подскажите в каком разделе ? и
потестил MXtool . Вот что выдало :
результаты
SMTP Reverse DNS Mismatch OK - 94.45.147.146 resolves to ditecgt.ditec.com.ua
SMTP Valid Hostname OK - Reverse DNS is a valid Hostname
SMTP Banner Check OK - Reverse DNS matches SMTP Banner
SMTP TLS OK - Supports TLS.
SMTP Connection Time 1.142 seconds - Good on Connection time
SMTP Open Relay OK - Not an open relay.
SMTP Transaction Time 3.579 seconds - Good on Transaction Time
Session Transcript:
Connecting to 94.45.147.146

220 ditecgt.ditec.com.ua ESMTP [954 ms]EHLO PWS3.mxtoolbox.com
250-ditecgt.ditec.com.ua
250-PIPELINING
250-SIZE 31457280
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM RPA
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [750 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [750 ms]
RCPT TO:<test@example.com>
554 5.7.1 <test@example.com>: Relay access denied [797 ms]


Добавлено:
UPD . НАшел на своем TP-Link в разделе ACCESS CONTROL - Access Rules Это оно?
и тут два вопроса - 1. для всех даю запрет на smtp а для почтового сервера даю пропускать . эти правила не будут конфликтовать ?
2. если я запрещаю для вех smtp это означает что если пользователь захочет использовать параллельно свою альтернативную почту то она не пройдет ?

djayson

Цитата:

понимаю нужно выявить кто есть первоисточником спама

ну так часть блэк листов указывают когда было сообщение. смотрим логи за этот период и выясняем что было. может это спамит вообще зараженный компьютер через легальную учетку, либо вообще напрямую, а не через почтовик.


Цитата:

1. для всех даю запрет на smtp а для почтового сервера даю пропускать . эти правила не будут конфликтовать ?

зависит от очередности применения правил. ничто же не мешает попробовать и проверить.


Цитата:

использовать параллельно свою альтернативную почту то она не пройдет ?

через вебморду - пройдет. пройдет и через почтовый клиент, если удаленный сервер работает не только с 25 портом.

ps: а в каком листе? http://whatismyipaddress.com/blacklist-check показывает, что только в dnsbl.justspam.org

Mavrikii
- да cbl lookup показывает когда было разсылание. раньше слалось по ночам. сйчас и днем бывает .дело в том что я не особо знаю как в postfixe смотреть ети логи . то что идет на почту админа письма типа Report Domain:test.dvr.net.ua Submitter:aol.com Report-ID:test.dvr.net.ua_1465948800 , Report domain: dvr.net.ua Submitter: google.com Report-ID: 13055954080427650659 . если знаете . подскажите пожалуйста ?

- с правилами поексперементирую

- я как помню то гугл например использует для браузерного общения не 25й порт .

п.с. как раз этим сайтом и проверяю . раньше был в нескольких листах . сейчас джаст спам ( на него не обращаю внимания ) и CBL вот от него и отписываюсь пару раз в день

13:14:39.902110 IP 192.168.16.252.62891 > bay0-mc6-f.bay0.hotmail.com.smtp: Flags [F.], seq 1841869938, ack 2352095570, win 1040, options [nop,nop,TS val 546072579 ecr 1466234], length 0
13:14:40.006087 IP 192.168.16.252.62997 > lo-in-f27.1e100.net.smtp: Flags [F.], seq 313716822, ack 168271337, win 1035, options [nop,nop,TS val 546072682 ecr 3013544083], length 0
13:14:40.059604 IP 192.168.16.252.63344 > mailin-05.mail.aol.com.smtp: Flags [FP.], seq 1:18, ack 72, win 1040, options [nop,nop,TS val 546072736 ecr 1098219388], length 17
13:14:40.100910 IP 192.168.16.252.62656 > mtain-b-atc-a.mx.aol.com.smtp: Flags [R.], seq 2305215178, ack 533736982, win 1040, options [nop,nop,TS val 546072777 ecr 2722246786], length 0
13:14:40.122982 IP 192.168.16.252.62841 > lo-in-f27.1e100.net.smtp: Flags [R.], seq 3811109553, ack 4044225444, win 1035, options [nop,nop,TS val 546072799 ecr 2923394324], length 0

вот такое увидел tcpdump . скажите что это за смтп такие (lo-in-f27.1e100.net.smtp и тд) ?

djayson lo-in-f27.1e100.net гуглевский, 1e100.net is a Google-owned domain name used to identify the servers in our network. 1e100 is scientific notation for 1 googol

http://1whois.ru/?url=lo-in-f27.1e100.net

остальные и так сами за себя говорят - AOL и HOTMAIL

ipmanyak
уже посмотрел на whois

так и не разобрался как мониторить по tcpdump / это просмотрел активность порта 25 . вроде ничего страшного .но если сейчас нет то скорее всего ночью пойдет. пока не разберусь как это выследить может кто подскажет как сделать ограничение на количество отправляемых писем в час например ?

Добавлено:
еще на роутере прописал такие правила :
    No.     Source     Destination     Policy     Service     Interface     Effective
    1    192.168.16.252/32    192.168.16.252/32    Allow     SMTP    LAN    Always    

    2    192.168.16.1/32     192.168.16.255/32    Block     SMTP    LAN    Always
    
    3    192.168.16.252/32    192.168.16.252/32    Allow     SMTP    WAN    Always
    
    4    192.168.16.1/32     192.168.16.255/32    Block SMTP    WAN    Always

поправте если что не так сделал ?