Port 25 bloqué par le FAI à cause du spam

20

Question principale:

Est-il même possible d'être infecté par un logiciel bot / spamming sur Ubuntu (ou toute autre distribution)?

Détails:

Mon FAI a bloqué mon port 25 (et 465) pour les connexions sortantes ( connexions sortantes, du domicile au serveur distant) vers SMTP, donc je ne peux pas utiliser mes e-mails professionnels depuis le domicile pour le moment. Leur raisonnement pour me bloquer est: "à cause de l'envoi de spam", ce que je ne suis pas et ils m'ont dit que si je n'envoie pas, mon système d'exploitation est probablement infecté ...

Je pourrais utiliser une liste complète d'outils et de guides pour vérifier le système ( Ubuntu 13.10 14.04 64bit ) pour tout infiltrat / malware / rootkits.

PS

  • J'ai également Windows 8.1 (64 bits) installé juste parce que j'aime aussi jouer sur mon ordinateur personnel ... mais c'est ce que je fais uniquement sur Windows ... quand j'ai le temps ...

  • Le sans fil est désactivé et même s'il est activé, il est protégé par un laissez-passer.

  • La numérisation des fenêtres n'a rien révélé ni n'aurait dû, car
    des fenêtres et des jeux y sont installés.

  • Je peux me connecter à d'autres ports pour SMTP mais notre serveur utilise 25 et cela ne peut pas changer

  • J'ai également testé la connexion au port 25 à partir de windoze (en utilisant Thunderbird)

  • J'utilise thunderbird pour le client de messagerie sur Ubuntu et j'en ai testé quelques autres juste pour vérifier qu'il ne s'agissait pas d'une erreur de configuration de thunderbird.

  • Telneting génère également un délai de connexion ...

EDIT: Mon FAI refuse toujours de me débloquer ... Peut-être que je devrai ouvrir 587 sur le serveur, car ce n'est pas bloqué pour le moment (je peux toujours utiliser Gmail)

EDIT 2:

Je suppose qu'aujourd'hui, j'ai été connecté à une autre technologie du support de mon FAI et m'a dit qu'il n'y avait pas de blocage avec eux ... J'étais furieux !!! Je ne sais pas ce que faisait la technologie précédente ... peut-être qu'il est nouveau et lisait à partir d'un script ..

J'ai donc testé un autre FAI via le partage de connexion depuis mon téléphone et j'ai réussi à envoyer des e-mails via le port 25. Essentiellement, je n'ai rien changé, seulement le FAI. Me plaisantent-ils? Peut-être que le support technique ne sait pas comment interpréter ce qu'ils recherchent sur leurs écrans pour mon compte ou cela pourrait-il être autre chose?

Une autre étape que j'ai prise a été de réinitialiser complètement mon routeur à ses paramètres par défaut et d'obtenir une autre IP dynamique. Toujours pas de connexion au port 25.

Je prévois d'obtenir un routeur utilisé d'un ami ou quelque chose à tester avec un autre routeur juste pour être sûr que le problème réside avec mon FAI.

EDIT 3: Cela fait un moment depuis ma dernière mise à jour de cette question. Je suis retourné dans mon ancienne maison (qui se trouve dans une autre partie du pays) où j'ai le même fournisseur d'accès Internet. La même entreprise !! Mes paramètres fonctionnent comme prévu. Je peux très bien envoyer des e-mails en utilisant le port 25. Je parie que le problème était avec ce méchant routeur ZTE que le FAI distribue aux nouveaux clients.

smtp Petsoukos
la source
Vous avez besoin de quelque chose comme ceci barracuda.com/products/spamfirewall mais ils sont chers
Tasos
Peut-être que vous avez couru quelque chose comme ça nmap somehost/24 -p 25?
d33tah
En plus des autres réponses, le FAI peut faire ce que la plupart des FAI font maintenant - ils bloquent globalement le SMTP sortant. Votre FAI dispose-t-il d'un serveur smtp par lequel vous pouvez relayer? par exemple stmp. [isp.com]?
jqa
1
Avez-vous configuré votre serveur de messagerie pour ne pas relayer de courrier provenant d'ailleurs?
Shadur
1
c'est le monde de l'homme du logiciel, dans le cyber-monde, tout est possible, les systèmes d'exploitation ne peuvent pas devenir immunisés, «virus» n'est qu'un nom pour un programme rogué codé par quelqu'un, vous demandez essentiellement «le programme même de quelqu'un peut-il fonctionner ubuntu "- bien sûr!
pythonian29033

Réponses:

32

Est-ce même possible?

Pourquoi ne serait- ce pas? Ubuntu est un système vraiment flexible qui partage de nombreux problèmes avec la plupart des autres systèmes d'exploitation:

  • Les logiciels dans Ubuntu peuvent être exploités
  • Vous n'avez pas besoin de root pour exécuter un démon de spam.
  • Les gens peuvent casser l'authentification faible
  • Les utilisateurs d'Ubuntu peuvent être convaincus d'installer / d'exécuter n'importe quoi
  • Une fois dedans, les pirates peuvent télécharger / télécharger à distance plus de logiciels pour envoyer du spam

Soyons réalistes sur la sécurité ici. Un exploit Flash multiplateforme pourrait facilement se traduire par un chargement de compte-gouttes et l'installation d'un démon de spam qui s'exécute lui-même lors de la connexion. Il n'a pas besoin de root.

Revérifiez l'histoire du FAI

"Mais mon FAI ne me mentirait pas!" dit jamais personne . De nombreux FAI domestiques bloquent habituellement le port 25 et d'autres vous obligent à utiliser leurs serveurs SMTP (c'est la seule connexion p25 sortante qu'ils autorisent).

Être modérateur me permet de voir votre adresse IP et j'ai vérifié votre FAI à domicile. Si vous recherchez leur nom sur Google et "port 25" ou "smtp", vous verrez beaucoup d'autres personnes dans des situations similaires. Et ils ont un serveur SMTP central.

Je sais que vous avez dit qu'il s'agit d'un nouveau problème, mais vérifiez simplement que ce n'est pas votre FAI (ou qu'il n'a pas besoin des bons paramètres pendant que vous êtes sur votre FAI). La solution de contournement à la fin devrait toujours fonctionner pour vous.

Trouver le problème

Bien que possible, je ne suis toujours pas sûr que ce soit la cible la plus probable. Si vous êtes comme moi, vous êtes entouré d'appareils connectés à Internet et vous devez tous les regarder.

Je commencerais par demander au FAI des preuves. Horodatages au strict minimum, mais ce serait formidable de voir ce qu'ils utilisent pour s'assurer que ce n'est pas un auto-flag qui a mal tourné.

  • Il se peut que quelqu'un ait signalé un e-mail professionnel au service d'abus du FAI.
  • Vous devez savoir quel système d'exploitation vous utilisiez à l'époque. Ubuntu et Windows conservent tous les deux des journaux d'authentification, alors comparez-les à toute preuve qu'ils peuvent vous envoyer.

  • Enregistrez l'activité du port 25 sortant avec quelque chose comme:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    Honnêtement, je ne sais pas si cela fonctionnera si vous êtes déjà bloqué, mais ça vaut le coup. Différents pare-feu Windows vous proposeront différentes alternatives de journalisation.

  • Notez que n'importe quel appareil sur votre connexion peut envoyer des e-mails, pas seulement votre ordinateur. Téléphones, grille-pain Wi-Fi, voisins coquins, etc. Trouver tout ce qui envoie ce courrier pourrait nécessiter une interception et une journalisation des paquets au niveau du réseau. Tout cela est possible mais c'est une douleur à l'arrière.

  • Une fois que vous avez épuisé toutes les possibilités, faites votre choix de logiciel antivirus Linux . Je ne peux pas parler personnellement de l'un d'eux ou de leurs taux de détection.

Travailler immédiatement autour d'un bloc

Si vous devez continuer, la façon la plus simple de continuer à envoyer des e-mails consiste à utiliser une sorte de connexion obscurcie ou cryptée. Si vous avez accès à un serveur SSH (par exemple au travail), cela peut souvent être la meilleure méthode.

ssh -D9100 user@host

Ensuite, modifiez simplement votre client de messagerie pour utiliser une adresse proxy SOCKS localhost, un port 9100. Votre FAI ne pourra pas interférer avec cela et je serais très surpris si tout ce qui envoie le spam pouvait deviner la configuration SOCKS.

Qu'est-ce qui est le plus probable dans ce cas ...?

Vérifiez si vous pouvez envoyer des e-mails via le serveur SMTP de votre FAI. J'ai vérifié, le vôtre en a un. Ils pourraient forcer tous leurs utilisateurs à l'utiliser car c'est très courant. La personne du support technique pourrait simplement être confuse.

Demandez à un autre utilisateur (avec un autre compte, sur une autre ligne téléphonique) d'essayer de se connecter au SMTP de votre entreprise. Cela peut être fait rapidement avec telnet example.com 25.

  • S'ils ne peuvent pas se connecter, supposez que cela concerne tout le FAI - pas seulement votre compte - donc ce n'est probablement pas un problème de sécurité ... C'est juste quelque chose avec lequel vous devrez travailler ou contourner.

  • S'ils peuvent se connecter, vous êtes de retour à la case départ. Un envoi d'e-mail à partir de votre réseau a déclenché le blocage de votre FAI. Les balayages de virus, la surveillance du trafic et la paranoïa sont vos meilleurs amis ici.

Oli
la source
1
En effet, certains FAI le bloquent simplement par politique, ce qui est donc très probable, et vous devez donc demander une preuve. Si quelque chose sur votre réseau domestique envoie réellement une durée, la trouver n'est pas exactement facile.
2014
J'accepterai cela comme une réponse car il contient des informations utiles. J'ai vérifié l'installation de Windows avec divers outils d'analyse ... il n'a rien trouvé. Pas même le suivi des cookies ... En ce qui concerne mon installation Ubuntu, je viens de lancer l'outil rkhunter et je n'ai rien trouvé non plus ... (veuillez me faire savoir s'il existe d'autres outils que je peux essayer pour ma situation spécifique)
Petsoukos
@Petsoukos Je préférerais probablement un véritable antivirus d'analyse qu'un outil comme rkhunter. Je suis peut-être injuste, mais je ne les compte pas dans la même ligue les uns que les autres.
Oli
Cette réponse ignore la possibilité qu'il soit un relais de spam ouvert. C'est une bonne information, mais peut-être l'aidera-t-il à garder sa machine mal configurée accessible.
casey
@casey Je n'arrive pas à cette conclusion de la question. Du tout. Il mentionne la connexion à un serveur de travail qui ne prend en charge que le port 25 ...
Oli
8

Il est certainement possible d'être infecté et de faire partie d'un botnet dans Ubuntu. Mais c'est aussi vraiment très improbable.

Vous devriez pouvoir demander à votre FAI ses dossiers. Ils vous aideront à trouver le problème. Il est difficile de le diagnostiquer à partir d'ici, mais votre réseau sans fil a de bonnes chances de devenir le coupable. Veuillez vérifier que vous utilisez WPA2 pour la sécurité et que WPS est désactivé.

Après avoir résolu votre problème et cessé d'envoyer du spam pendant un certain temps, vous pouvez probablement demander à votre FAI de débloquer vos ports.

Javier Rivera
la source
3
"Veuillez vérifier que vous utilisez WPA." WEP et WPA sont vulnérables. Je m'assurerais que vous exécutez WPA2.
MiniRagnarok
Je l'ai édité car je reconnais que WPA2 est plus sécurisé. Mais AFAIK il n'y a pas de vulnérabilité connue connue dans WPA qui puisse vous permettre de vous connecter à un réseau (à court de bruting force des mots de passe courts ou à l'aide de WPS pour obtenir le mot de passe).
Javier Rivera
Mon support technique ISP ne sait probablement pas de quoi je parle quand je leur parle ...
Petsoukos
5

Il est courant de bloquer le port sortant 25, car en raison de problèmes de spam, il est en quelque sorte découragé pour la soumission d'origine du courrier électronique. Il est toujours utilisé entre les serveurs de messagerie.

Le port approprié (et généralement non bloqué) pour l'envoi de courrier électronique (d'origine) est le port 587, le soi-disant port de soumission. Les fournisseurs de messagerie le prennent généralement en charge, les opérateurs système ne le bloquent généralement pas.

fstd
la source
4

De nombreux FAI bloquent les ports 25 et 80 pour tous leurs comptes clients. J'utilise un service d'hébergement Web qui inclut un service de messagerie. ils me fournissent un serveur smtp sur un port non standard pour le courrier électronique sortant. Cela fonctionne partout. Vous pourriez bien avoir accès à quelque chose de similaire. Pensez aux services que vous avez déjà et étudiez-les.

Marc
la source
2

Beaucoup d'autres réponses se concentrent sur une personne utilisant votre wifi ou infectant vos machines. Celles-ci sont possibles mais elles négligent l'explication la plus simple (le rasoir d'Occam ...).

Vous agissez probablement comme un relais ouvert, ce qui signifie que n'importe qui dans le monde peut se connecter à votre machine et lui demander gentiment d'envoyer du courrier quelque part, et vous le ferez, sans poser de questions. C'est souvent la raison pour laquelle les FAI vous bloquent car c'est un simple test pour eux. Ils vont scanner le bloc IP de leur client et demander quoi que ce soit sur le port 25 pour relayer un message de test et si vous le faites, vous êtes un spammeur. Il se peut que personne n'utilise réellement votre relais, mais sa simple existence suffit pour être bloquée.

Pour tester si vous êtes un relais ouvert, connectez-vous Telnet à votre serveur de messagerie et parlez-lui. Les lignes en gras sont celles que vous tapez.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

Les lignes que vous tapez sont les helo, mail from:et les rcpt to:lignes. Assurez-vous que vous utilisez des adresses qui ne sont pas locales pour vous, les deux doivent être des hôtes distants. Si vous n'obtenez pas l'erreur 554 relay denied, vous êtes une passerelle de spam mal configurée et bloquée à juste titre.

Le moyen le plus simple d'y remédier est d'exiger une authentification pour envoyer du courrier via votre MTA. Les détails pour configurer cela dépendent du MTA que vous exécutez, un détail qui n'est pas présent dans votre question.

casey
la source
Je pense que dans ce cas, je devrais avoir un serveur de messagerie installé sur ma machine domestique, ce que je n'ai pas. Correct? Je n'essaie pas d'envoyer depuis ma machine en tant que serveur de messagerie, mais plutôt de me connecter à mon serveur distant (hors site).
Petsoukos
0

Juste pour vous assurer que quelque chose de mal ne fonctionne pas sur votre box ou réseau Linux.

Vérifiez vous-même votre réseau

Commencez par exécuter ceci sur votre machine Linux à la maison:

netstat -ta

Ceci listera toutes les connexions TCP qui sont établies ou en écoute (avec des serveurs derrière eux). S'il y a quelque chose que vous n'attendez pas, vous devriez enquêter davantage.

Une autre commande très utile qui répertorierait tous les processus avec des connexions Internet qu'ils maintenaient ouverts est:

sudo lsof -i

(vous devrez lsofinstaller le package.)

Notez que les tests ci-dessus ne couvriront pas les autres appareils partageant votre connexion Internet: téléphone, tablettes, gadgets compatibles avec Internet, voisins se superposant à votre connexion, etc., comme Oli l'a mentionné. Si vous avez une liste de vos adresses IP internes, vous pouvez exécuter une analyse de port externe sur chacune d'elles, une par une, à partir de votre boîte Linux:

sudo nmap <internal-ip-address>

(nécessite le nmappackage). Il peut révéler des ports et des services ouverts sur divers appareils que vous ne connaissez peut-être pas.

arielf
la source