ISP Port 25 wegen Spam blockiert

20

Hauptfrage:

Kann man unter Ubuntu (oder einer anderen Distribution) überhaupt mit einer Bot- / Spam-Software infiziert werden?

Einzelheiten:

Mein ISP hat meinen Port 25 (und 465) für ausgehende Verbindungen (ausgehende Verbindungen, von zu Hause zum Remote-Server) zu SMTP blockiert , sodass ich meine geschäftlichen E-Mails derzeit nicht von zu Hause aus verwenden kann. Ihre Gründe, mich zu blockieren, sind: "Weil du Spam sendest", was ich nicht bin, und sie sagten mir, wenn ich nicht sende, ist mein Betriebssystem wahrscheinlich infiziert ...

Ich könnte eine umfassende Liste von Tools und Anleitungen verwenden, um das System ( Ubuntu 13.10 14.04 64bit ) auf Infiltrate / Malware / Rootkits zu überprüfen .

PS

  • Ich habe auch Windows 8.1 (64bit) installiert, nur weil ich auch gerne auf meinem Heimcomputer spiele ... aber das mache ich nur unter Windows ... wenn ich Zeit habe ...

  • WLAN ist ausgeschaltet und auch wenn es eingeschaltet ist, ist es passgeschützt.

  • Das Durchsuchen von Fenstern hat nichts ergeben und sollte es auch nicht geben, da
    dort Windows und Spiele installiert sind.

  • Ich kann eine Verbindung zu anderen Ports für SMTP herstellen, aber unser Server verwendet 25 und das kann sich nicht ändern

  • Ich habe auch die Verbindung zu Port 25 von Windoze aus getestet (mit Thunderbird)

  • Ich benutze Thunderbird als E-Mail-Client für Ubuntu und habe einige andere getestet, um sicherzustellen, dass es sich nicht um eine Fehlkonfiguration von Thunderbird handelt.

  • Telneting gibt auch Verbindungs-Timeout aus ...

BEARBEITEN: Mein ISP weigert sich immer noch, mich zu entsperren ... Vielleicht muss ich 587 auf dem Server öffnen, da das momentan nicht gesperrt ist (ich kann immer noch Google Mail verwenden)

EDIT 2:

Ich schätze heute war ich mit einem anderen Techniker von meinem ISP verbunden und sagte mir, dass es keinen Block von ihnen gibt ... Ich war wütend !!! Ich weiß nicht, was der vorherige Techniker getan hat. Vielleicht ist er neu und liest aus einem Drehbuch.

Also habe ich einen anderen ISP über Tethering von meinem Telefon aus getestet und es ist mir gelungen, E-Mails über Port 25 zu senden. Im Grunde habe ich nichts geändert, nur den ISP. Scherzen sie mich? Vielleicht kann der technische Support nicht interpretieren, was sie für meinen Account auf ihren Bildschirmen sehen, oder könnte es etwas anderes sein?

Ein weiterer Schritt, den ich unternahm, war, meinen Router vollständig auf seine Standardeinstellungen zurückzusetzen und eine andere dynamische IP zu erhalten. Immer noch keine Verbindung zu Port 25.

Ich plane, einen gebrauchten Router von einem Freund oder einem anderen zu kaufen, um ihn mit einem anderen Router zu testen, nur um sicherzugehen, dass das Problem bei meinem ISP liegt.

EDIT 3: Es ist eine Weile her seit meinem letzten Update zu dieser Frage. Ich bin in mein altes Haus (das sich in einem anderen Teil des Landes befindet) zurückgezogen, wo ich denselben Internetprovider habe. Die gleiche Firma !! Meine Einstellungen funktionieren einfach wie erwartet. Ich kann problemlos E-Mails über Port 25 senden. Ich wette, das Problem lag bei diesem fiesen ZTE-Router, den der ISP an neue Kunden verteilt.

Petsoukos
quelle
Sie brauchen so etwas wie diese barracuda.com/products/spamfirewall, aber sie sind teuer
Tasos
Vielleicht bist du so was gelaufen nmap somehost/24 -p 25?
25.
Zusätzlich zu den anderen Antworten kann der ISP das tun, was die meisten ISPs jetzt tun - sie blockieren global ausgehendes SMTP. Verfügt Ihr ISP über einen SMTP-Server, den Sie weiterleiten können? zB stmp. [isp.com]?
JQA
1
Haben Sie Ihren Mail-Server so konfiguriert, dass keine E-Mails von anderen Stellen weitergeleitet werden?
Shadur
1
Dies ist die Welt des Software-Menschen, in der Cyber-Welt ist alles möglich, Betriebssysteme können nicht immun werden, 'Virus' ist nur ein Name für ein Schurkenprogramm, das von jemandem programmiert wurde. Man fragt sich im Grunde, ob überhaupt jemandes Programm ausgeführt werden kann ubuntu "- natürlich!
Pythonian29033

Antworten:

32

Ist es überhaupt möglich?

Warum sollte es nicht so sein? Ubuntu ist ein wirklich flexibles System, das viele Probleme mit den meisten anderen Betriebssystemen teilt:

  • Software in Ubuntu kann ausgenutzt werden
  • Sie benötigen kein root, um einen Spam-Daemon auszuführen.
  • Menschen können schwache Authentifizierung knacken
  • Ubuntu-Benutzer können davon überzeugt werden, so gut wie alles zu installieren / auszuführen
  • Einmal angekommen, können Hacker mehr Software hochladen / herunterladen, um Spam zu versenden

Seien wir hier nur realistisch in Bezug auf die Sicherheit. Ein plattformübergreifender Flash-Exploit kann leicht dazu führen, dass ein Dropper geladen und installiert wird, der sich bei der Anmeldung selbst ausführt. Es braucht keine Wurzel.

Überprüfen Sie die Geschichte des Internetdienstanbieters

"Aber mein ISP würde mich nicht anlügen!" sagte niemand jemals . Viele Heim-ISPs blockieren normalerweise Port 25 und andere zwingen Sie, ihre SMTP-Server zu verwenden (dies ist die einzige ausgehende p25-Verbindung, die sie zulassen).

Als Moderator kann ich Ihre IP-Adresse sehen und habe Ihren ISP zu Hause überprüft. Wenn Sie ihren Namen und "Port 25" oder "smtp" googeln, sehen Sie viele andere Personen in ähnlichen Situationen. Und sie haben einen zentralen SMTP-Server.

Ich weiß, dass Sie gesagt haben, dass dies ein neues Problem ist, aber überprüfen Sie noch einmal, ob es nicht Ihr ISP ist (oder ob Sie auf Ihrem ISP die richtigen Einstellungen benötigen). Die Problemumgehung am Ende sollte weiterhin für Sie funktionieren.

Das Problem finden

Obwohl möglich, bin ich mir immer noch nicht sicher, ob es das wahrscheinlichste Ziel ist. Wenn Sie so etwas wie ich sind, sind Sie von Geräten mit Internetanschluss umgeben und müssen sich alle ansehen.

Ich würde damit beginnen, den ISP nach Beweisen zu fragen. Zeitstempel sind das Nötigste, aber es wäre großartig zu sehen, was sie verwenden, um sicherzustellen, dass es sich nicht um ein falsches Auto-Flag handelt.

  • Es kann sein, dass jemand eine geschäftliche E-Mail bei der Missbrauchsabteilung des ISP gemeldet hat.
  • Sie müssen wissen, welches Betriebssystem Sie zu der Zeit verwendet haben. Sowohl Ubuntu als auch Windows führen Auth-Logs, vergleichen Sie sie also mit allen Beweisen, die sie Ihnen senden können.
  • Protokolliere ausgehende Port 25-Aktivitäten mit etwas wie:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Ich bin ehrlich gesagt nicht sicher, ob das funktionieren wird, wenn Sie bereits blockiert sind, aber es ist einen Versuch wert. Verschiedene Windows-Firewalls bieten verschiedene Protokollierungsalternativen.

  • Beachten Sie, dass jedes Gerät in Ihrer Verbindung E-Mails senden kann, nicht nur Ihr Computer. Telefone, WLAN-fähige Toaster, ungezogene Nachbarn usw. Das Abfangen und Protokollieren von Paketen auf Netzwerkebene kann erforderlich sein, um festzustellen, was diese E-Mails senden. Dies ist alles möglich, aber es ist ein Schmerz im Heck.

  • Sobald Sie alle Möglichkeiten ausgeschöpft haben, können Sie sich für eine Linux-Antivirensoftware entscheiden . Ich kann für keine von ihnen oder ihre Erkennungsraten persönlich sprechen.

Block sofort umgehen

Wenn Sie weitermachen müssen, können Sie E-Mails am einfachsten über eine verschleierte oder verschlüsselte Verbindung versenden. Wenn Sie Zugriff auf einen SSH-Server haben (z. B. bei der Arbeit), ist dies häufig die beste Methode.

ssh -D9100 user@host

Ändern Sie dann einfach Ihren E-Mail-Client, um eine SOCKS-Proxy-Adresse localhost, einen Port, zu verwenden 9100. Ihr ISP wird dies nicht stören können, und ich wäre sehr überrascht, wenn das, was auch immer den Spam sendet, die SOCKS-Konfiguration erraten könnte.

Was ist in diesem Fall am wahrscheinlichsten ...?

Überprüfen Sie, ob Sie E-Mails über den SMTP-Server Ihres Internetdienstanbieters senden können. Ich habe nachgesehen, deins hat eins. Sie könnten alle ihre Benutzer dazu zwingen, es zu verwenden, da dies sehr verbreitet ist. Die Person des technischen Supports ist möglicherweise nur verwirrt.

Bitten Sie einen anderen Benutzer (mit einem anderen Konto, über eine andere Telefonleitung), eine Verbindung zum SMTP Ihres Unternehmens herzustellen. Das geht schnell mit telnet example.com 25.

  • Wenn sie keine Verbindung herstellen können, gehen Sie davon aus, dass dies ISP-weit ist - nicht nur Ihr Konto -, sodass es wahrscheinlich kein Sicherheitsproblem ist.

  • Wenn sie sich verbinden können, sind Sie wieder auf dem ersten Platz. Es wurde eine E-Mail von Ihrem Netzwerk gesendet, die Ihren Internetdienstanbieter dazu veranlasst hat, Sie zu blockieren. Virus Sweeps, Traffic Monitoring und Paranoia sind hier Ihre besten Freunde.

Oli
quelle
1
In der Tat blockieren einige ISPs dies nur aus politischen Gründen, so dass dies höchstwahrscheinlich ist, und Sie sollten nach einem Beweis fragen. Wenn etwas in Ihrem Heimnetzwerk tatsächlich Daten sendet, ist es nicht ganz einfach, dies festzustellen.
Psusi
Ich werde dies als Antwort akzeptieren, da es nützliche Informationen enthält. Ich habe meine Windows-Installation mit verschiedenen Scan-Tools überprüft ... es wurde nichts gefunden. Ich verfolge nicht einmal Cookies ... Bei meiner Ubuntu-Installation habe ich nur das rkhunter-Tool ausgeführt und auch nichts gefunden ... (Bitte teilen Sie mir mit, ob es weitere Tools gibt, die ich für meine spezielle Situation ausprobieren kann)
Petsoukos
@Petsoukos Ich würde wahrscheinlich ein aktuelles Scan-Antivirus bevorzugen als ein Tool wie rkhunter. Vielleicht bin ich unfair, aber ich zähle sie nicht in der gleichen Liga.
Oli
Diese Antwort übersieht die Möglichkeit, dass es sich um ein offenes Spam-Relay handelt. Es handelt sich um gute Informationen, die ihm jedoch möglicherweise helfen, seine falsch konfigurierte Maschine zugänglich zu halten.
Casey
@casey Ich komme zu diesem Schluss aus der Frage nicht. Überhaupt. Es wird erwähnt, dass eine Verbindung zu einem Arbeitsserver hergestellt wird, der nur Port 25 unterstützt.
Oli
8

In Ubuntu ist es durchaus möglich, infiziert zu werden und Teil eines Botnetzes zu sein. Aber es ist auch sehr, sehr unwahrscheinlich.

Sie sollten in der Lage sein, Ihren ISP nach ihren Aufzeichnungen zu fragen. Sie werden Ihnen helfen, das Problem zu finden. Von hier aus ist es schwer zu diagnostizieren, aber Ihr WLAN hat eine gute Chance, die Schuld zu tragen. Vergewissern Sie sich, dass Sie aus Sicherheitsgründen WPA2 verwenden und WPS deaktiviert ist.

Nachdem Sie das Problem behoben und das Versenden von Spam für eine Weile eingestellt haben, können Sie Ihren Internetdienstanbieter möglicherweise überreden, die Sperrung Ihrer Ports aufzuheben.

Javier Rivera
quelle
3
"Bitte überprüfen Sie, ob Sie WPA verwenden." WEP und WPA sind anfällig. Ich würde sicherstellen, dass Sie WPA2 ausführen.
MiniRagnarok
Ich habe es bearbeitet, da ich damit einverstanden bin, dass WPA2 sicherer ist. Es ist jedoch keine Sicherheitslücke in WPA bekannt, die es Ihnen ermöglicht, eine Verbindung zu einem Netzwerk herzustellen (wenn Sie nicht brutal kurze Passwörter erzwingen oder WPS verwenden, um das Passwort zu erhalten).
Javier Rivera
Mein technischer ISP-Support weiß wahrscheinlich nicht, wovon ich spreche, wenn ich mit ihnen spreche ...
Petsoukos
5

Es ist gängige Praxis, ausgehenden Port 25 zu blockieren, da er aufgrund von Spam-Bedenken für die ursprüngliche Übermittlung von E-Mails nicht mehr geeignet ist. Es wird immer noch zwischen Mailservern verwendet.

Der richtige (und normalerweise nicht gesperrte) Port für die Übermittlung von (Original-) E-Mails ist Port 587, der sogenannte Übermittlungsport. Mail-Provider unterstützen es normalerweise, Systembetreiber blockieren es normalerweise nicht.

fstd
quelle
4

Viele ISPs blockieren die Ports 25 und 80 für alle ihre Verbraucherkonten. Ich verwende einen Webhosting-Dienst, der auch E-Mail-Dienste umfasst. Sie stellen mir einen SMTP-Server an einem nicht standardmäßigen Port für ausgehende E-Mails zur Verfügung. Es funktioniert überall. Möglicherweise haben Sie Zugriff auf etwas Ähnliches. Überlegen Sie, welche Services Sie bereits haben, und untersuchen Sie sie.

Marc
quelle
2

Viele der anderen Antworten beziehen sich auf jemanden, der Ihr WLAN nutzt oder Ihre Maschinen infiziert. Diese sind möglich, übersehen aber die einfachste Erklärung (Ockhams Rasiermesser ...).

Sie agieren höchstwahrscheinlich als offenes Relay, was bedeutet, dass jeder auf der Welt eine Verbindung zu Ihrem Computer herstellen kann und es einfach nett anfordert, E-Mails an einen anderen Ort zu senden. Dies ist häufig der Grund, warum ISPs Sie blockieren, da dies ein einfacher Test für sie ist. Sie scannen ihren Kunden-IP-Block und fordern an Port 25 alles auf, eine Testnachricht weiterzuleiten. Wenn Sie dies tun, sind Sie ein Spammer. Es mag sein, dass niemand Ihr Relais tatsächlich benutzt, aber seine bloße Existenz reicht aus, um blockiert zu werden.

Um zu testen, ob Sie ein offenes Relay sind, rufen Sie Ihren Mailserver per Telnet an und sprechen Sie mit ihm. Die fetten Linien sind diejenigen, die Sie eingeben.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

Die Linien der Eingabe sind die helo, mail from:und rcpt to:Linien. Stellen Sie sicher, dass Sie Adressen verwenden, die für Sie nicht lokal sind. Beide müssen Remotehosts sein. Wenn Sie den Fehler nicht erhalten 554 relay denied, sind Sie ein falsch konfiguriertes Spam-Gateway und zu Recht blockiert.

Die einfachste Möglichkeit, dies zu beheben, besteht darin, eine Authentifizierung zum Senden von E-Mails über Ihren MTA erforderlich zu machen. Die Details zum Einrichten hängen von dem von Ihnen ausgeführten MTA ab, ein Detail, das in Ihrer Frage nicht vorhanden ist.

casey
quelle
In diesem Fall sollte auf meinem Heimcomputer ein Mailserver installiert sein, den ich nicht habe. Richtig? Ich versuche nicht, von meinem Computer aus als Mailserver zu senden, sondern eine Verbindung zu meinem eigentlichen Remote-Server (außerhalb des Standorts) herzustellen.
Petsoukos
0

Nur um sicherzustellen, dass auf Ihrer Linux-Box oder Ihrem Netzwerk nichts Schlimmes läuft.

Überprüfen Sie Ihr Netzwerk selbst

Führen Sie dies zunächst auf Ihrem Linux-Computer zu Hause aus:

netstat -ta

Dies listet alle TCP-Verbindungen auf, die entweder hergestellt oder überwacht werden (mit Servern dahinter). Wenn Sie etwas nicht erwarten, sollten Sie es weiter untersuchen.

Ein weiterer sehr nützlicher Befehl, der alle Prozesse mit offenen Internetverbindungen auflistet, ist:

sudo lsof -i

(Sie müssen das lsofPaket installiert haben.)

Beachten Sie, dass die obigen Tests keine anderen Geräte erfassen, die Ihre Internetverbindung gemeinsam nutzen: Telefon, Tablets, internetfähige Geräte, Nachbarn, die auf Ihrer Verbindung huckepack nehmen usw., wie von Oli erwähnt. Wenn Sie eine Liste Ihrer internen IPs haben, können Sie einen externen Port-Scan für jede dieser IPs einzeln von Ihrer Linux-Box aus ausführen:

sudo nmap <internal-ip-address>

(benötigt das nmapPaket). Möglicherweise werden Ports und Dienste angezeigt, die auf verschiedenen Geräten geöffnet sind, von denen Sie möglicherweise nichts wissen.

Arielf
quelle