Porta ISP bloqueada 25 devido a spam

20

Questão principal:

É até possível ser infectado com um software de bot / spam no Ubuntu (ou qualquer outra distro)?

Detalhes:

Meu ISP bloqueou minha porta 25 (e 465) para conexões de saída ( conexões de saída, de casa para servidor remoto) para SMTP, por isso não posso usar meus e-mails comerciais de casa agora. O raciocínio deles para me bloquear é: "por causa de você enviando spam", o que eu não sou e eles me disseram que, se eu não estiver enviando, meu sistema operacional provavelmente está infectado ...

Eu poderia usar uma lista abrangente de ferramentas e guias para verificar o sistema ( Ubuntu 13.10 14.04 64bit ) quanto a qualquer infiltrado / malware / rootkits.

PS

  • Eu também tenho o Windows 8.1 (64 bits) instalado apenas porque também gosto de jogar no meu computador em casa ... mas é o que eu só faço no Windows ... quando tenho tempo ...

  • A conexão sem fio está desativada e, mesmo que esteja ativada, é protegida por senha.

  • A digitalização das janelas não revelou nada, nem deveria ter, pois
    há janelas e jogos instalados lá.

  • Posso conectar-me a outras portas para SMTP, mas nosso servidor usa 25 e isso não pode ser alterado

  • Também testei a conexão à porta 25 do windoze (usando thunderbird)

  • Eu uso o thunderbird para cliente de e-mail no ubuntu e testei alguns outros apenas para verificar se não era um erro de configuração do thunderbird.

  • O telneting também gera o tempo limite da conexão ...

EDIT: Meu ISP ainda se recusa a me desbloquear ... Talvez eu precise abrir o 587 no servidor, pois isso não está bloqueado no momento (ainda posso usar o Gmail)

EDIT 2:

Acho que hoje eu estava conectado com outra tecnologia do suporte do meu ISP e me disse que não havia um quarteirão deles ... Fiquei furioso !!! Eu não sei o que o técnico anterior estava fazendo ... talvez ele seja novo e esteja lendo um script ..

Por isso, testei outro ISP via tethering do meu telefone e consegui enviar e-mails pela porta 25. Essencialmente, não mudei nada, apenas o ISP. Eles estão brincando comigo? Talvez o suporte técnico não saiba como interpretar o que eles procuram nas telas da minha conta ou poderia ser outra coisa?

Outro passo que tomei foi redefinir completamente o roteador para as configurações padrão e obter outro IP dinâmico. Ainda não há conexão com a porta 25.

Estou planejando obter um roteador usado de algum amigo ou algo para testar com outro roteador apenas para ter certeza de que o problema está no meu ISP.

EDIT 3: Já faz um tempo desde a minha última atualização para esta pergunta. Voltei para minha casa antiga (que fica em uma parte diferente do país), onde tenho o mesmo provedor de internet. A mesma empresa !! Minhas configurações funcionam como esperado. Posso enviar e-mails muito bem usando a porta 25. Aposto que o problema foi com aquele roteador desagradável da ZTE que o ISP entrega a novos clientes.

Petsoukos
fonte
Você precisa de algo como este barracuda.com/products/spamfirewall mas eles são caros
Tasos
Talvez você tenha executado algo como nmap somehost/24 -p 25?
d33tah
Além das outras respostas, o ISP pode estar fazendo o que a maioria dos ISPs faz agora - eles bloqueiam globalmente o SMTP de saída. O seu ISP possui um servidor smtp através do qual você pode retransmitir? por exemplo, stmp. [isp.com]?
JQA
11
Você configurou seu servidor de correio para não retransmitir correio de outro lugar?
Shadur 26/03
11
este é o mundo do software, no mundo cibernético, tudo é possível, os sistemas operacionais não podem se tornar imunes, 'vírus' é apenas o nome de um programa fraudulento que alguém codificou, você está basicamente perguntando "o programa de alguém pode ser executado Ubuntu "- É claro!
pythonian29033

Respostas:

32

Isso é possível?

Por que não seria? O Ubuntu é um sistema realmente flexível que compartilha muitos problemas com a maioria dos outros sistemas operacionais:

  • O software no Ubuntu pode ser explorado
  • Você não precisa de raiz para executar um daemon de spam.
  • As pessoas podem quebrar a autenticação fraca
  • Os usuários do Ubuntu podem ser convencidos a instalar / executar praticamente qualquer coisa
  • Uma vez lá, os hackers podem fazer upload / download remoto de mais software para enviar spam

Vamos apenas ser realistas sobre segurança aqui. Uma exploração em Flash de plataforma cruzada pode se traduzir facilmente em um conta-gotas carregando e instalando um daemon de spam que é executado automaticamente no login. Não precisa de raiz.

Verifique novamente a história do ISP

"Mas meu provedor não mentiria para mim!" nunca disse ninguém . Muitos ISPs domésticos normalmente bloqueiam a porta 25 e outros o forçam a usar seus servidores SMTP (essa é a única conexão p25 de saída que eles permitem).

Ser um moderador me permite ver seu IP e verifiquei o seu provedor de Internet em casa. Se você pesquisar o nome e a "porta 25" ou "smtp" no Google, verá muitas outras pessoas em situações semelhantes. E eles têm um servidor SMTP central.

Sei que você disse que esse é um problema novo, mas verifique novamente que não é o seu ISP (ou que precisa das configurações corretas enquanto estiver no seu ISP). A solução alternativa no final ainda deve funcionar para você.

Encontrando o problema

Embora possível, ainda não tenho certeza de que é o alvo mais provável. Se você é como eu, está cercado por dispositivos conectados à Internet e precisa ver todos eles.

Eu começaria perguntando ao ISP algumas evidências. Os registros de data e hora são mínimos, mas seria ótimo ver o que eles estão usando para garantir que não haja um sinalizador automático errado.

  • Pode ser que alguém tenha sinalizado um e-mail comercial com o departamento de abuso do ISP.
  • Você precisa saber qual sistema operacional estava usando no momento. O Ubuntu e o Windows mantêm registros de autenticação, para compará-los com qualquer evidência que possam enviar a você.
  • Registre a atividade da porta de saída 25 com algo como:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    Sinceramente, não tenho certeza se isso funcionará se você já estiver sendo bloqueado, mas vale a pena tentar. Vários firewalls do Windows oferecem várias alternativas de log.

  • Observe que qualquer dispositivo na sua conexão pode estar enviando e-mails, não apenas o seu computador. Telefones, torradeiras com wifi, vizinhos impertinentes, etc. Encontrar o que está enviando esse e-mail pode exigir uma interceptação e registro de pacotes no nível da rede. Tudo isso é possível, mas é uma dor na parte traseira.

  • Depois de esgotar os caminhos mais prováveis, escolha o software antivírus Linux . Não posso falar pessoalmente por nenhum deles ou por suas taxas de detecção.

Trabalhando em torno de um bloco imediatamente

Se você precisar continuar, a maneira mais fácil de continuar enviando email é através de algum tipo de conexão ofuscada ou criptografada. Se você tiver acesso a um servidor SSH (por exemplo, no trabalho), esse pode ser o melhor método.

ssh -D9100 user@host

Em seguida, basta alterar seu cliente de email para usar um endereço de proxy SOCKS localhost, porta 9100. Seu ISP não será capaz de interferir com isso e ficaria muito surpreso se o que está enviando o spam pudesse adivinhar a configuração do SOCKS.

O que é mais provável neste caso ...?

Verifique se você pode enviar e-mail através do servidor SMTP do seu ISP. Eu verifiquei, o seu tem um. Eles podem estar forçando todos os seus usuários a usá-lo, pois isso é muito comum. A pessoa do suporte técnico pode ficar confusa.

Peça a outro usuário (com outra conta, em outra linha telefônica) que tente se conectar ao SMTP da sua empresa. Isso pode ser feito rapidamente com telnet example.com 25.

  • Se eles não conseguirem se conectar, suponha que esse seja o ISP, não apenas a sua conta, portanto provavelmente não é um problema de segurança ... É apenas algo com o qual você terá mais trabalho ou solução.

  • Se eles puderem se conectar, você estará de volta à estaca zero. Ocorreu algo ao enviar email da sua rede que acionou o seu ISP para bloquear você. Varreduras de vírus, monitoramento de tráfego e paranóia são seus melhores amigos aqui.

Oli
fonte
11
De fato, alguns ISPs apenas o bloqueiam por uma questão de política, o que é mais provável e, portanto, você deve pedir provas. Se algo na sua rede doméstica está enviando extensão, a descoberta não é exatamente fácil.
Psusi 26/03/14
Aceito isso como resposta, pois contém informações úteis. Eu verifiquei a instalação do Windows com várias ferramentas de digitalização ... não encontrou nada. Nem mesmo rastreando cookies ... Quanto à minha instalação do Ubuntu, eu apenas executei a ferramenta rkhunter e também não encontrei nada ... (por favor, deixe-me saber se existem outras ferramentas que posso tentar para a minha situação específica)
Petsoukos
@ Petetskos Eu provavelmente preferiria um antivírus de varredura real do que uma ferramenta como essa rkhunter. Talvez eu esteja sendo injusto, mas não os conto na mesma liga.
Oli
Esta resposta ignora a possibilidade de ele ser um retransmissor de spam aberto. É uma boa informação, mas pode estar apenas ajudando-o a manter acessível sua máquina mal configurada.
casey
@ Casey Não chego a essa conclusão da pergunta. Em absoluto. Ele menciona a conexão com um servidor de trabalho que suporta apenas a porta 25 ...
Oli
8

Certamente é possível estar infectado e fazer parte de uma botnet no Ubuntu. Mas também é realmente muito improvável.

Você deve poder solicitar ao seu ISP os registros dele. Eles ajudarão você a encontrar o problema. É difícil diagnosticá-lo a partir daqui, mas a sua rede sem fio tem uma boa chance de ser o culpado. Verifique se você está usando o WPA2 por segurança e o WPS está desativado.

Depois de resolver o problema e parar de enviar spam por um tempo, você provavelmente poderá convencer seu ISP a desbloquear suas portas.

Javier Rivera
fonte
3
"Verifique se você está usando o WPA." WEP e WPA são vulneráveis. Eu teria certeza de que você está executando o WPA2.
MiniRagnarok 25/03
Eu o editei porque concordo que o WPA2 é mais seguro. No entanto, no AFAIK não há vulnerabilidade conhecida no WPA que permita a conexão com uma rede (senhas curtas de força bruta ou uso do WPS para obter a senha).
Javier Rivera
O meu apoio ISP tecnologia provavelmente não sabe o que estou falando quando eu falo com eles ...
Petsoukos
5

É prática comum bloquear a porta de saída 25, pois devido a preocupações com spam, ela meio que foi desencorajada pelo envio original de e-mail. Ainda é usado entre servidores de correio.

A porta adequada (e normalmente não bloqueada) para o envio de e-mail (original) é a porta 587, a chamada porta de envio. Os provedores de correio geralmente o suportam, os operadores do sistema normalmente não o bloqueiam.

fstd
fonte
4

Muitos ISPs bloqueiam as portas 25 e 80 para todas as suas contas de consumidor. Eu uso um serviço de hospedagem na web que inclui o serviço de email. eles me fornecem um servidor smtp em uma porta não padrão para email de saída. Funciona em qualquer lugar. Você pode ter acesso a algo semelhante. Pense em quais serviços você já possui e investigue-os.

Marc
fonte
2

Muitas das outras respostas se concentram em alguém usando seu wifi ou infectando suas máquinas. Isso é possível, mas eles ignoram a explicação mais simples (a navalha de Occam ...).

É provável que você esteja atuando como um relé aberto, o que significa que qualquer pessoa no mundo pode se conectar à sua máquina e apenas pedir gentilmente para enviar e-mails para algum lugar, e você fará isso, sem perguntas. É frequentemente por isso que os ISPs o bloqueiam porque é um teste simples para eles. Eles examinam o bloco IP do cliente e solicitam qualquer coisa na porta 25 para retransmitir uma mensagem de teste e, se o fizer, você é um spammer. Pode ser que ninguém esteja realmente usando seu relé, mas sua mera existência é suficiente para ser bloqueada.

Para testar se você é um relé aberto, envie telnet para o servidor de correio e fale com ele. As linhas em negrito são as que você digita.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

As linhas que você digita são as helo, mail from:e rcpt to:linhas. Certifique-se de usar endereços que não são locais para você, ambos precisam ser hosts remotos. Se você não receber o erro 554 relay denied, será um gateway de spam mal configurado e bloqueado por direito.

A maneira mais simples de remediar isso é exigir autenticação para enviar email pelo seu MTA. Os detalhes para configurar isso dependem do MTA que você está executando, um detalhe que não está presente na sua pergunta.

Casey
fonte
Acho que, nesse caso, eu deveria ter um servidor de correio instalado na minha máquina doméstica, o que não tenho. Corrigir? Não estou tentando enviar da minha máquina como servidor de correio, mas conectar-me ao meu servidor remoto (externo) real.
Petsoukos
0

Apenas para garantir que você não tenha algo ruim em execução na sua caixa ou rede Linux.

Verifique sua rede você mesmo

Comece executando isso em sua máquina Linux em casa:

netstat -ta

Isso listará todas as conexões TCP estabelecidas ou em escuta (com servidores atrás deles). Se houver algo que você não espera, você deve investigar mais.

Outro comando muito útil que listaria todos os processos com conexões à Internet que eles mantiveram abertos é:

sudo lsof -i

(você precisará ter o lsofpacote instalado.)

Observe que os testes acima não abrangem outros dispositivos que compartilham sua conexão à Internet: telefone, tablets, gadgets habilitados para a Internet, vizinhos pegando carona na sua conexão, etc., como Oli mencionou. Se você tiver uma lista de seus IPs internos, poderá executar uma varredura de porta externa em cada um deles, um por um, na sua caixa Linux:

sudo nmap <internal-ip-address>

(requer o nmappacote). Pode revelar portas e serviços abertos em vários dispositivos dos quais você talvez não esteja ciente.

arielf
fonte