- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
День добрый коллеги, столкнулся с интересной темой.... Спамеры шлют спам каким-то образом, с машины на которой зарезан 25й порт на уровне 2L свича в который она включена...
Есть не сложный сегмент сети,
L3 маршрутизатор, L2 коммутатор (C2950).
На L3 маршрутизаторе есть VLAN который доходит до конкретного порта в L2 свиче.
На L2 свиче вот такая штука:
interface FastEthernet0/9
switchport access vlan 51
switchport mode access
ip access-group smtpblock in
load-interval 30
no cdp enable
spanning-tree portfast
end
....
ip access-list extended smtpblock
deny tcp any any eq smtp
permit ip any any
Если зайти на сервер, и делать оттуда telnet <host> 25 куда либо , ничего не происходит, проверял внутри сети, на машинках слушал tcpdump-ом ничего не приходит.... т.е правило работает отлично как я понимаю.
Дальше, у клиента на сервере есть пачка адресов, которые выданы следующим образом:
Основная сеточка /30 висит на самом VLAN, т.е клиенту спускается 1 адрес.
Дополнительные адреса маршрутизируются на тот самый "основной" IP адрес.
т.е для примера, основная сеть 1.1.1.0/30 (на стороне клиента IP 1.1.1.2
Дополнительне адреса 2.2.2.0/24 -> 1.1.1.2
Все как бы с точки зрения маршрутизации работает нормально вопросов никаких нет за исключением того, что в подобной конфигурации на сеть 2.2.2.0/24 навалило тона спамкопов........
Изучая харрактерные особенности, было обращено внимание, что в один из периодов времени было несколько сайнапов однотипных, и все они теперь каким-то образом по чуток спамят , при этом у всех серверов закрыт 25й порт на выход на стороне L2 свича.....
У меня есть подозрение, что например в том же VLAN 51 есть еще один какой-то сервер (надо всех изучать, это не так просто), который возможно не имеет блокировки на порту, и на нем поднимают IP адреса с других серверов, однако в этом случае я не понимаю каким образом будет устанавливаться соединение если по машрутизации на моем маршрутизаторе.... обратный трафик придет таки к реальному серверу за которым закреплены IP адреса.....
Может вообще шлют не из нашей AS а например откуда-то где не сильно правильно настроен anti spoof к примеру, может где-то в хетзнере например поднимают наши адреса? А нам абузы возвращаются... Хотя в этом случае так же вопрос о соединении остается открытым.
В общем наталкивайте на мысли, буду рад услышать любую информацию которая сможет помочь разобраться..... Честно говоря немного озадачен. Каким бы образом отловить происходящее.
Извините, если не понял сути (много написано), но почту можно отправлять не только через 25 порт.
Есть еще 587 порт SMTP+STARTTLS
Извините, если не понял сути (много написано), но почту можно отправлять не только через 25 порт.
Есть еще 587 порт SMTP+STARTTLS
Если я правильно понял вас, то отправлять то почту можно хоть с порта 22 если у вас есть рутовые полномочия на сервере, однако преимущественное большинство серверов принимают почту именно на порту 25 (по этому выглядит как-то так: ВашСервер.com:любой порт -> google.com:25), это предусмотрено разными стандартами и.т.п.... по этому исходящий порт роли не играет, а вот подключится куда бы то ни было на 25й порт... вроде бы как возможности быть не должно, стало быть отправить почту на нормальный почтовый сервер так же не должно быть возможности, но какой-то прикол таки поселился... вот гадаю сижу.
https://en.wikipedia.org/wiki/Opportunistic_TLS#SSL_ports
стало быть отправить почту на нормальный почтовый сервер так же не должно быть возможности
Вам все правильно сказали, отправлять почту можно в т.ч. через SSL, для этого стандартом предусмотрены порты 465 и 587.
Да, посыпаю голову пеплом, SMTPS возможен, но это не оно....
Вскрыл одну из машинок на которую залита некая backend часть...
.jar файлик и парочка архивов, запускается бекенд на java, который строит GRE тунели с использованием внутренних адресов типа 10./8 а внутрь заворачивает судя по всему выданные мною ИП,
Тунель строится на ИП 209.170.75.27..... (*Telia), судя по всему на той стороне нет антиспуф протекшона никакого и там можно хоть от имени google рассылать пакеты? Вопрос в том , куда они возвращаются.....
На стороне машины расположенной у меня, поднят только tun0 интерфейс, а так же "основной IP", дополнительне IP просто перечислены в одном из конфигов этого ПО.... я так понимаю происходит некое асинхронное хождение трафика что ли ? Какой-то чувак поворачивает мои ИП адреса в Telia, при этом откуда-то (может и не из Telia) шлет почту от моих адресов (спуф я так понимаю) а возврат может быть даже каким-то образом и обрабатывает в этом java backend....
---------- Добавлено 19.05.2016 в 03:15 ----------
Интересная штука, внутри тунеля GRE происходит общение.....
---------- Добавлено 19.05.2016 в 04:22 ----------
Судя по всему, все оказывается достаточно просто, люди стоят GRE тунель и на дальней стороне от меня поднимают мои ИП адреса, а оттуда шлют как бы спам как положено.... Тут даже spoof не нужен, так что ли получается?
Как не подменяй на дальней стороне IP, хост принимающий почту запишет в received реальный IP сервера, который ему передал почту.
Другое дело что есть глупые RBL, которые пихают все received, но тут уже такое дело...
Как не подменяй на дальней стороне IP, хост принимающий почту запишет в received реальный IP сервера, который ему передал почту.
Другое дело что есть глупые RBL, которые пихают все received, но тут уже такое дело...
SpamCop обычный....
Так если провайдер например разрешает любые IP на исход... ничего не мешает человеку поднять на интерфейсе по сути любой адрес и с него слать.... возврат будет в оригинальное место конечно....
Я таким образом тестировал как-то у себя, пингал от имени 8.8.8.8 себя :))) забавно :)
В общем пока понятно что есть GRE тунель и в нем происходит спам на второй стороне, подрезал GRE, жду реакции ;)
Какая-то нереально сложная схема ради простого спама, только чтобы обойти ваши ограничения на SMTP ? Может там ddos-или раньше еще и в этом их главная цель.
В общем пока понятно что есть GRE тунель и в нем происходит спам на второй стороне, подрезал GRE, жду реакции
Так им не все ли равно каким способом туннель поднять ? Поднимут openvpn значит, снова будет спам .
Тут ARIN надо закрывать. В Прогрессивной Европе ( в юрисдикции RIPE) все зарегулировано и магистральные провайдеры действительно серьезнее подходят к трафику. А про ARIN периодически всплывают всякие такие заметки.
Может, как-то договориться с сетевиками по этой конкретной проблеме ?
Какая-то нереально сложная схема ради простого спама, только чтобы обойти ваши ограничения на SMTP ? Может там ddos-или раньше еще и в этом их главная цель.
В том то и дело, что кроме спама пока ничего.
Так им не все ли равно каким способом туннель поднять ? Поднимут openvpn значит, снова будет спам .
В принципе да конечно, но тогда будет Cancel ;)
Тут ARIN надо закрывать. В Прогрессивной Европе ( в юрисдикции RIPE) все зарегулировано и магистральные провайдеры действительно серьезнее подходят к трафику. А про ARIN периодически всплывают всякие такие заметки.
Не совсем понял при чем тут ARIN...
Может, как-то договориться с сетевиками по этой конкретной проблеме ?
С какими сетевиками?
С какими сетевиками?
С каким-нибудь. Такой трафик не должен проходить. У каждого ошибочного пакета есть поля Имя Отчество и Фамилия.