Як ви боритесь зі спамом

[cojiict]

На скільки мені відомо - білінг по замовчувані блокує абонентам 25-й порт, та має моє можливість його відкривати по необхідності.
Нещодавно стикнувся з проблемою спаму smtp такого характеру:

Код:

Шановний користувачу,

Згідно угоди ****** Ви використовуєте або використовували IP-Адресу "***.***.***.***".
На цю IP-адресу надійшла скарга-рапорт від світових організацій
запобігання кіберзлочинам. Найбільш ймовірно, що ваш комп'ютер
заражений вірусом і його використовують чи вже використали у свої діях
міжнародні злочинці. Наголошуємо, що Ви можете стати співучасником
злочину з усіма наслідками згідно чинного законодавства.

Проханння в НАЙКОРОТШІ терміни усунути проблему.
В протилежному випадку буде заблоковано доступ до 25-го порта (це smtp
порт через який відсилаються e-mail), або повністю доступ до інтернету.

Перевіряю

Код:

tcpdump -i em1 port 25
11:26:02.150062 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: P 76690:76696(6) ack 374 win 63867
11:26:02.159827 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: P 374:415(41) ack 76696 win 62780
11:26:02.160629 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: F 415:415(0) ack 76696 win 62780
11:26:02.161920 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: . ack 416 win 63826
11:26:02.700107 IP 10.102.0.227.51396 > mail.ukrpost.ua.smtp: F 76696:76696(0) ack 416 win 63826
11:26:02.709699 IP mail.ukrpost.ua.smtp > 10.102.0.227.51396: . ack 76697 win 62780


11:29:22.351852 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:25.271338 IP 10.102.4.107.1106 > sitemail.everyone.net.smtp: Flags [S], seq 2993217032, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:27.884259 IP 10.102.4.108.localinfosrvr > bay0-mc2-f.bay0.hotmail.com.smtp: Flags [S], seq 1761806004, win 65535, options [mss 1460,nop,nop,sackOK], length 0
11:29:29.714987 IP 10.102.4.107.1139 > mail86.messagelabs.com.smtp: Flags [S], seq 1232360402, win 65535, options [mss 1460,nop,nop,sackOK], length 0

Цим абонентам в білінгу не дозволено використання 25 порта
Google просить у абонентів підтвердження що вони не роботи, так як вони висять на одному роутері. В свою чергу вони з власної необізнаності кричать що моїм інтернетом користуються інші ...
Допоможіть будь ласка розібратись

[VitalVas]

Код:

ipfw show | grep 25
ipfw add 10 deny ip from ***.***.***.*** to any dst-port 25

[ser970]

pf  max-src-conn-rate
и блок на час 25 порта

[cojiict]

Код:

ipfw show | grep 25
ipfw add 10 deny ip from ***.***.***.*** to any dst-port 25

Підскажіть що не так?

Код:

tcpdump -i em1 port 25
16:47:33.545440 IP 10.102.4.108.2056 > mxi13.ilisys.com.au.smtp: Flags [S], seq 2235131218, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:47:36.564683 IP 10.102.4.108.2056 > mxi13.ilisys.com.au.smtp: Flags [S], seq 2235131218, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:47:42.556587 IP 10.102.4.108.2056 > mxi13.ilisys.com.au.smtp: Flags [S], seq 2235131218, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:47:53.333945 IP 10.102.2.56.2515 > p3pismtp01-v01.prod.phx3.secureserver.net.smtp: Flags [S], seq 1029607081, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:47:53.442367 IP 10.102.2.56.2552 > 74.125.141.2.smtp: Flags [S], seq 984298351, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:47:56.437145 IP 10.102.2.56.2552 > 74.125.141.2.smtp: Flags [S], seq 984298351, win 65535, options [mss 1460,nop,nop,sackOK], length 0
16:48:02.343119 IP 10.102.2.56.2552 > 74.125.141.2.smtp: Flags [S], seq 984298351, win 65535, options [mss 1460,nop,nop,sackOK], length 0

Код:

ipfw show | grep 25
05030     1087434       54110232 deny tcp from table(15) to any dst-port 25


ipfw table 15 list
.....
10.102.2.56/32 0
.....
10.102.4.108/32 0

чому спам йде далі? чи він просто потрапляє на внутрішній інтерфейс та гаситься фаєрволом?

[ser970]

чи він просто потрапляє на внутрішній інтерфейс та гаситься фаєрволом?

не совсем так но очень близко .
от того что залочил фаером пакеты не перестанут прилетать.
 

[0xbad0c0d3]

да ладно... на сколько мне известно то фаер в ядре, а tcpdump в юзермоде, потому если фаер лочит, то до tcpdump не дойдет...

[stix]

во фре например если фильтровать на input интерфейсе, а смотреть на внешнем - то не должно быть видно, даже в promiscuous mode
в линуксе tcpdump работает в promiscuous mode и пакеты будут видно, что ходят

[ser970]

да ладно... на сколько мне известно то фаер в ядре, а tcpdump в юзермоде, потому если фаер лочит, то до tcpdump не дойдет...

можешь проверить

[0xbad0c0d3]

хмм... да, во фре так оО линь точно рубит

[VitalVas]

Код:

tcpdump -pi em0 port 25

[cojiict]

Біда. Гугл зійшов з розуму і за моєї відсутності заблокував доступ до своїх пошукових систем.

Код:

Регистрация подозрительного трафика из вашей сети

При чому не для всіх користувачів
Хто стикався з такого роду проблемою? Як швидко вирішити?
З.І. В україні в гугла немає тех підтримки? Навіть номер телефону відсутній

[Rico-X]

Писать через форму обратной связи и объяснять ситуацию. А вообще боритесь с причиной а не следствием, ловите спамера в своей сети и даете по шапке, ну или отключаете, пусть конкурентам жизнь портит. Мы каждый месяц 2-3 человека по своей инициативе отключаем, намного дешевле чем потом абузы разгребать.