Port 25 gesperrt

[hronny]

Hi! Aus aktuellem Anlass wurde bei einem unserer Kundenanschlüsse (WLAN Verteiler) der Port 25 von der Telekom gesperrt. Die Sperrung wurde eingeleitet, da über unsere IP scheinbar SPAM versendet wurde. Nun ist es so, dass nach intensiver Prüfung auf der Routermaschine nichts gefunden wurde. Noch dazu ist alles außer der FTP Port und ein verdeckter SSH Port von der lokalen Maschine ins Internet gesperrt. Dafür sind eine Menge Ports aus dem lokalen Netz nach Außen freigegeben.

Nach der ersten WarnEmail durch die Telekom, wurde die Routermaschine sofort vom Internet genommen und vorsichtshalber neu aufgesetzt. Aber einen Tag später wurde erneut eine SPAM-Warnung an uns gesendet. Nun wurde der Port 25 komplett deaktiviert "um größeren Schaden zu vermeiden".

Jetzt sieht alles danach aus, dass jemand aus dem lokalen Netz, der Übeltäter ist. Ich frage mich nur, wie ich das Problem in den Griff bekommen soll, denn ich kann doch nicht zu allen ca. 100 Teilnehmer nach Hause gehen, und mal den Rechner nach Viren scannen! Was kann ich nun tun? Freischalten kann mich die Telekom erst wieder, wenn ich das Problem beseitigt habe. Wenn nicht ist das ein klarer Verstoß gegen die geltenden AGB der Telekom.

[coresploit]

Wenn du IPtables benutzt, könntest du auf deinem Router alles loggen, was durch 25 geht.

Ich habe schon lange nicht mit IPtables gearbeitet, aber ich glaube, das geht so:

Code: Alles auswählen

iptables -A FORWARD -p tcp --dport 25 -j LOG --log-level info --log-prefix "MAILS: " 

[gms]

Jetzt sieht alles danach aus, dass jemand aus dem lokalen Netz, der Übeltäter ist. Ich frage mich nur, wie ich das Problem in den Griff bekommen soll, denn ich kann doch nicht zu allen ca. 100 Teilnehmer nach Hause gehen, und mal den Rechner nach Viren scannen! Was kann ich nun tun?

die Telekom hat dir doch gezeigt, wie das geht, ohne zu dir nach Hause zu kommen Was spricht dagegen, wenn du mit deinen Kunden ähnlich vorgehst ?

[hronny]

Die Möglichkeit könnte ich schon nutzen, aber erzeugt das nicht riesige Logfiles?

die Telekom hat dir doch gezeigt, wie das geht, ohne zu dir nach Hause zu kommen

da vermute ich mal, dass das über die abuse@t-online.de Adresse erledigt wurde

[gms]

Die Möglichkeit könnte ich schon nutzen, aber erzeugt das nicht riesige Logfiles?

die Telekom hat dir doch gezeigt, wie das geht, ohne zu dir nach Hause zu kommen

da vermute ich mal, dass das über die abuse@t-online.de Adresse erledigt wurde

nö, dadurch bist du höchstens aufgeflogen
Dir wurde Port 25 gesperrt und du wurdest aufgefordert das Problem zu lösen

[TRex]

Ich würde das ruhig mal nen Tag lang machen und dann sortieren und zählen [lassen]. Dann siehst du, welche IP das meiste Zeug schicken will und kannst den Teilnehmer sperren, für alle anderen wieder aufmachen und den zur Lösung zwingen.

[Danielx]

Macht die Telekom den Port 25 zum Testen wieder auf?
Denn es ist davon auszugehen, dass dann gleich wieder Spam-Mails versendet werden.

Gruß,
Daniel

[hronny]

Mein Beitrag ist zwar schon eine längere Zeit her, aber die Telekom hat nach Zusenden einer schriftlichen Nachricht den Port wieder geöffnet. Ich habe mit iptables ein log auf Port 25 gemacht (wie vwochnik es geschrieben hat). Nach einem halben Tag waren 3 Personen eingekreist die wirklich an viele verschiedene IP-Adressen senden wollten. Nach Scannen der vermuteten Personen stellte sich bei 2 WindowsPCs heraus das der Virus Conficker im Spiel war. Nach "bereinigen" der Maschinen konnten wir an die Telekom unser Schreiben schicken und einen Tag später waren wir dann wieder mit dem Standardport 25 online.
Die clevere Personen konnten in dieser Zeit ihren Emailsendeport auf den alternativen SMTP Port 587 umstellen, da die meisten Provider diesen unterstützen. Jedenfalls sehe ich wieder einmal, wie kulant die TCom trotzdem ist.

Viele Grüße