Добрый день. Помогите плз. Не понимаю что происходит. Есть маил сервер стоит за микротиком .У меня настроено отказоустойчивый интернет .т.е. два провайдера .Работало все хорошо и отлично почта летала и прилетала . Но сегодня началось что то не вероятное . Письма на сервере стали копиться в очереди и ошибка что мой ip адрес попал в спам лист. Я почистил все спам листы где было указано . Вся очередь рассосалась но через некоторое время опять началось то же самое и опять спам лист . Тут я подумал о микротике может меня взломали на 25 порту ?Как проверить это не подскажите? помогите ,не знаю куда копать уже .
в разделе Ip- Firewall-Connections включить фильтр и посмотреть откуда и куда летят пакеты с DST-Port=25 (например) посмотреть на сервере не открыт ли relay почты попробовать проверить сервер почты извне при помощи https://mxtoolbox.com/ раздел MXLookUP - иногда там бывает что-то видно лишнее на что глаз внимания не обратил посмотреть не шлет ли сервер почту на левые адреса - заглянуть в протоколы почтового сервера... могу утечь пользовательский комплект Логин-Пароль и с успешной авторизацией извне будут слать спам на левые адреса Проверить на микротике а ТОЛЬКО ЛИ СЕРВЕР использует 25 порт TCP вдруг кто-то изнутри заразил машину и шлет спам через ваш канал интернета ... причем делать это нужно в живой среде т.к. выключенный комп не отсветится вечером а проявит себя утром ... и снова здравствуй BlackList
Да,спасибо . Посмотрел на сайте тот который вы посоветовали . На нем мх запись то есть то нет . Не стабильно работает . Написал провайдеру где лежит мх запись . Жду ответа . По поводу компов . У меня их 200 шт . И понять откуда идёт пока не ясно как . Но такое впечатление что спам идёт с самого микротика . У меня 25 порт напрямую смотрит к сожелению нельзя его сменить из за начальства . Может подскажете как его спрятать от сканирование и взлома ?
Насколько я знаю на самом микротике (а я могу ошибаться) нет модулей которые откликаются на 25 TCP порт Это означает что он проброшен внутрь сети на внутренний адрес сервера (что-то вроде IP извне TCP 25 DST-Nat To mailserverIP Port 25) тогда пакеты попадут на порт 25 внутреннего почтового сервера это значит что может идти подбор пароля сервера и идет поток обращений извне на WAN канале у которого DST-Address = WAN_IP Dst_Port=25 https://c2n.me/3YJDZ9S Или один/несколько компьютеров в сети заражен и рассылает спам по командам центра управления вируса или бот-сети Или и то и другое вместе взятое - тоже не исключено кроме этого стоит зайти на сам почтовый сервер и прошерстить логи отправок писем в мир и от имени какого пользователя они совершались и если найдется подозрительная активность какого-то пользователя - значит комплект- логин почты/пароль почты - скомпрометирован и требуется его замена возможно возрос трафик писем пользователя сильне обычного уровня или отправка идет а машина выключена и не может быть источником почты для сервера или сервер позволяет из локальной сети отправлять письма без явной авторизации ... тоже стоит проверить
часто сервера с черными списками указывают на причину блокировки путем формирования соотвествующей ошибки может это будет отправной точкой для выяснения причины ну и как вариант добавить правило для фильтра которое всех кто отправляет пакеты из локальной сети на DST port TCP 25 добавляет в специальный список для более глубокого анализа (Mail_Senders_List) что у них происходит и нужно ли им это я у себя как-то делал вариант для dst tcp 25 - 1. разрешительный список для тех кому можно по работе 2. добавку в список кто не в разрешительном но попытался 3. Блокировку всех кто не разрешен такая себе защита чтоб зараженный комп в сети не внес в черный список IP c почтовым сервером
/ip firewall filters add chain=input action=add-src-to-address-list protocol=tcp src-address-list=!Mail_Sender_List address-list=Extra_Mail_Senders address-list-timeout=none-dynamic in-interface=bridge1 dst-port=25 log=no log-prefix="" Правило не блокирует а добавляет в список исходный адрес отославшего в итоге наполнится список IP которые пытаются обращаться на DST TCP 25 куда либо и не обязательно на сервер к тебе
а у меня видеорегистратор RVI ддосил по 53 порту какую то контору в африке, пока его не отключили от ЛВС и от инета соотвественно. возможно какое то китайское обрудование в твоей сети активировалось.
были взломы видеорегистраторов ... и что там настраивали после взлома одному Богу известно ... могли и в ботнет воткнуть
Добрый день . Вчера все же нашел зло . Оказалось что от подрядчика шел спам . Интернет он брал у нас . Мы ему дали выделенный ip адрес через наш микротика . По правилу бридж . interface bridge add name=Bridge1 /interface bridge port add bridge=Bridge1 interface=ether1-gateway add bridge=Bridge1 interface=ether2-local Но похоже не правильно настроили nat так как при выходе в интернет у него оказалась наш ip адрес . Не подскажите или не дадите ссылку как настроить nat в данной ситуации ?
То, что вы сделали по "Второму варианту" должно быть похоже в упрощенном виде на: в разрыв провода от провайдера к Вашему микротику В вставляете простой свитч (для простоты восприятия dlink 1008d ) в первый порт воткнули провод от провайдера во второй ether1-gateway ведущий к вашему микротику на котором настроен ВАШ внешний IP адрес в третий воткнули ether2-local - ведущий к другому абоненту на котором настроен Другой IP (например там стоит свой микротик на первый порт которого приходит ether2-local и на нем настроен второй IP от того-же провайдера)- Если у Вас не такая/похожая схема подключения второго абонента то это не ваш вариант чтоб что-то советовать нужно понимать схему подключения микротика к провайдеру, подключения своей локалки, подключения чужой локалки как провайдер выдал боле чем 1 IP (блок адресов или набор из нескольких логинов паролей к соединениям типа ppp* ) ну и примеры примененного уже конфига не помешали-бы (даже с замененными адресами) тут явно нужны будут и интерфейсы и бриджи и nat, mangle и routes (rout-rules)
