由于垃圾邮件,ISP阻止了端口25


20

主要问题:

甚至有可能在Ubuntu(或任何其他发行版)上被漫游器/垃圾邮件软件感染吗?

细节:

我的ISP阻止了我的端口25(和465)用于向外连接(从本地到远程服务器的向外连接)到SMTP的连接,因此我现在无法从家里使用我的企业电子邮件。他们阻止我的原因是:“因为您发送垃圾邮件”,我不是,他们告诉我,如果我不发送垃圾邮件,则我的操作系统可能已被感染...

我可以使用全面的工具和指南列表来检查系统(Ubuntu 13.10 14.04 64bit)中是否有任何渗透/恶意软件/ rootkit。

聚苯乙烯

  • 我还安装了Windows 8.1(64位),只是因为我也喜欢在家用计算机上玩游戏...但是那是我只有在Windows上才能做的事情……有时间的时候...

  • 无线功能已关闭,即使已开启也受到密码保护。

  • 扫描Windows不会显示任何内容,也不应显示任何内容,因为
    那里已安装了窗口和游戏。

  • 我可以连接到SMTP的其他端口,但是我们的服务器使用25个端口,并且无法更改

  • 我还测试了从windoze连接到端口25(使用雷鸟)

  • 我在ubuntu上使用雷鸟作为电子邮件客户端,并测试了其他几个雷鸟,只是为了验证它不是雷鸟的错误配置。

  • Telneting也输出连接超时...

编辑: 我的ISP仍然拒绝取消阻止我...也许我将不得不在服务器上打开587,因为目前还没有被阻止(我仍然可以使用Gmail)

编辑2:

我想今天我在ISP的支持下与另一项技术联系在一起,并告诉我,他们与他们之间没有任何障碍...我很生气!!!我不知道以前的技术在做什么...也许他是新手,正在从脚本中读取...。

因此,我通过电话的网络共享测试了另一个ISP,并成功地通过端口25发送了电子邮件。本质上,我没有做任何更改,仅更改了ISP。他们在开玩笑吗?也许技术支持人员不知道如何解释他们在屏幕上显示的我帐户的内容,还是其他原因?

我采取的另一步骤是将路由器完全重置为默认设置,并获得另一个动态IP。仍然没有连接到端口25。

我正计划从某位朋友那里得到一台用过的路由器,或者用另一台路由器进行测试,以确保问题出在我的ISP上。

编辑3:自从我最后一次更新此问题以来已经有一段时间了。我搬回了我的老房子(在该国的另一部分),在那里我拥有相同的互联网提供商。同一家公司!!我的设置可以按预期工作。我可以使用端口25发送电子邮件。我敢打赌,问题出在ISP向新客户分发的那台讨厌的ZTE路由器。


您需要类似barracuda.com/products/spamfirewall这样的东西,但它们很昂贵
Tasos 2014年

也许您跑过类似的东西nmap somehost/24 -p 25
d33tah 2014年

除了其他答案之外,ISP可能正在执行大多数ISP现在所执行的操作-它们全局阻止出站SMTP。您的ISP是否有可以中继的smtp服务器?例如stmp。[isp.com]?
jqa 2014年

1
您是否将邮件服务器配置为不中继其他地方的邮件?
Shadur 2014年

1
这是软件人的世界,在网络世界中,一切皆有可能,操作系统无法免疫,“病毒”仅仅是某人编写的琐事程序的名称,您基本上是在问“某人的程序是否可以运行? ubuntu”-课程!
pythonian29033

Answers:


32

可能吗

为什么呢?Ubuntu是一个非常灵活的系统,与大多数其他操作系统共享许多问题:

  • 可以利用Ubuntu中的软件
  • 您不需要root即可运行垃圾邮件守护程序。
  • 人们可以破解弱认证
  • 可以说服Ubuntu用户安装/运行几乎任何东西
  • 一旦进入,黑客就可以上传/远程下载更多软件来发送垃圾邮件

让我们在这里实际实现安全性。跨平台的Flash攻击很容易转化为Dropper加载并安装在登录时自动运行的垃圾邮件守护程序。它不需要root。

仔细检查ISP的故事

“但是我的ISP不会骗我!” 说没有。许多家庭ISP习惯性地阻塞端口25,而其他一些ISP则强迫您使用其SMTP服务器(这是它们允许的唯一外向p25连接)。

作为主持人,我可以查看您的IP,并且已经检查了您的家庭ISP。如果您用谷歌搜索他们的名字和“ port 25”或“ smtp”,您会在类似情况下看到很多其他人。而且它们确实具有中央SMTP服务器。

我知道您说过这是一个新问题,但请仔细检查它不是您的ISP(或在ISP上需要正确的设置)。最后的解决方法仍然可以为您服务。

发现问题

尽管可能,但我仍不确定这是最可能的目标。如果您和我一样,就会被连接互联网的设备包围,您需要仔细检查它们。

首先,我会问ISP一些证据。时间戳是最小的,但是很高兴看到它们在使用什么以确保不是自动标记出错。

  • 可能有人标记了ISP滥用部门的工作电子邮件。
  • 您需要知道当时使用的操作系统。Ubuntu和Windows都保留身份验证日志,因此将它们与它们可以发送给您的任何证据进行比较。
  • 日志输出端口25的活动有一些这样的:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
    

    老实说,我不确定如果您已经被阻止了,那是否可行,但是值得一试。各种Windows防火墙将为您提供各种日志记录替代方案。

  • 请注意,您连接上的任何设备都可以发送电子邮件,而不仅仅是您的计算机。电话,启用wifi的烤面包机,顽皮的邻居等。查找发送此邮件的内容可能需要网络级别的数据包拦截和日志记录。这都是可能的,但后部很痛苦。

  • 用尽更多可能的途径后,请选择Linux防病毒软件。我不能亲自代表他们中的任何一个或他们的检出率。

立即解决一个问题

如果需要进行,进行电子邮件发送的最简单方法是通过某种混淆或加密的连接。如果您可以访问SSH服务器(例如在工作中),则通常是最好的方法。

ssh -D9100 user@host

然后只需更改您的电子邮件客户端以使用SOCKS代理地址localhostport即可9100。您的ISP将无法进行干预,如果发送垃圾邮件的任何人都可以猜测SOCKS配置,我将感到非常惊讶。

在这种情况下最有可能...?

检查是否可以通过ISP的SMTP服务器发送电子邮件。我检查过了,你有一个。他们可能会强迫所有用户使用它,因为这很常见。技术支持人员可能会感到困惑。

请另一个用户(使用另一个帐户,通过另一个电话线)尝试连接到公司的SMTP。使用可以快速完成此操作telnet example.com 25

  • 如果他们无法连接,请假定这是整个ISP范围的-不仅是您的帐户-可能不是安全问题...这是您需要与之合作或解决的问题。

  • 如果他们可以连接,您将回到第一广场。从您的网络发送电子邮件的某件事触发了您的ISP阻止您。病毒扫描,流量监控和妄想症是您最好的朋友。


1
确实,某些ISP只是出于政策目的阻止了它,因此很有可能,因此您应该要求证明。如果您的家庭网络上的某些设备实际上正在发送跨度,则查找起来并不容易。
psusi 2014年

我将接受它作为答案,因为它包含有用的信息。我使用各种扫描工具检查了Windows安装...没有找到任何东西。甚至没有跟踪cookie ...至于我的Ubuntu安装,我只是运行rkhunter工具,也没有找到任何东西...(请让我知道是否有其他工具可以针对我的具体情况尝试使用)
Petsoukos

@Petsoukos我可能更喜欢使用真正的扫描防病毒软件,而不是喜欢的工具rkhunter。也许我不公平,但我没有把他们算在同一个联赛中。
奥利(Oli)

这个答案忽略了他是开放式垃圾邮件中继的可能性。这是很好的信息,但可能只是在帮助他保持配置错误的计算机可访问性。
Casey 2014年

@casey我不能从问题中得出那个结论。完全没有 它提到连接到工作服务器仅支持25端口...
奥利

8

在Ubuntu中肯定有可能被感染并成为僵尸网络的一部分。但这也确实不太可能。

您应该可以向您的ISP询问他们的记录。他们将帮助您发现问题。从这里很难对其进行诊断,但是您的无线设备很有可能成为罪魁祸首。请检查您是否使用WPA2以获得安全性,并且WPS已禁用。

解决问题并停止发送垃圾邮件一段时间后,您可以说服ISP解除对端口的阻止。


3
“请检查您是否正在使用WPA。” WEP和WPA容易受到攻击。我将确保您正在运行WPA2。
MiniRagnarok

我已经编辑过它,因为我同意WPA2更安全。但是AFAIK在WPA中没有一个已知的漏洞,该漏洞可以使您连接到网络(缺少强制短密码或使用WPS来获取密码)。
哈维尔·里维拉2014年

与他们交谈时,我的ISP技术支持可能不知道我在说什么...
Petsoukos 2014年

5

阻止传出端口25是一种常见的做法,因为出于垃圾邮件的考虑,因此对于原始提交的电子邮件不建议使用。它仍然在邮件服务器之间使用。

提交(原始)电子邮件的合适的(通常是未阻止的)端口是端口587,即所谓的提交端口。邮件提供商通常会支持它,系统操作员通常不会阻止它。


4

许多ISP封锁了所有用户帐户的端口25和80。我使用的网络托管服务包括电子邮件服务。他们在非标准端口上为我提供了一个smtp服务器,用于传出电子邮件。它可以在任何地方工作。您可能可以访问类似的内容。考虑一下您已经拥有的服务,并对其进行调查。


2

其他许多答案都集中在使用您的wifi或感染您的机器的人身上。这些都是可能的,但它们忽略了最简单的解释(Occam的剃须刀...)。

您最有可能充当开放中继,这意味着世界上任何人都可以连接到您的计算机,并很好地要求它将邮件发送到某个地方,而您会做到这一点,而不会提出任何问题。这就是为什么ISP会阻止您的原因,因为这是对他们进行的简单测试。他们将扫描其客户IP块并询问端口25上的任何内容以中继测试消息,如果这样做,则说明您是垃圾邮件发送者。可能是没有人实际使用您的中继的情况,但是仅存在中继就足以被阻止。

要测试您是否是开放中继,请通过telnet连接到邮件服务器并与之对话。粗线是您键入的行。

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

您键入的线是helomail from:rcpt to:线条。确保您使用的地址不是本地的,都必须是远程主机。如果未收到错误消息554 relay denied,则说明您的垃圾邮件网关配置错误,并且已被正确阻止。

解决此问题的最简单方法是要求身份验证才能通过您的MTA发送邮件。设置的详细信息取决于您正在运行的MTA,而您的问题中没有此细节。


我认为在这种情况下,我应该在我的家用计算机上安装一个邮件服务器,但我没有。正确?我不是要从机器作为邮件服务器发送邮件,而是要连接到实际的远程(非现场)服务器。
Petsoukos 2014年

0

只是为了确保您的Linux机器或网络上没有坏事。

亲自检查您的网络

首先在家里的Linux机器上运行此命令:

netstat -ta

这将列出所有已建立或正在侦听的tcp连接(后面有服务器)。如果您没有任何期望,则应进一步调查。

另一个非常有用的命令将列出所有保持打开状态的具有Internet连接的进程:

sudo lsof -i

(您将需要lsof安装该软件包。)

请注意,上述测试将不会涵盖共享您的Internet连接的其他设备:电话,平板电脑,支持Internet的小工具,在您的连接上pig带邻居的设备等,如Oli所述。如果您有内部IP的列表,则可以在Linux框中对每个内部IP逐一运行外部端口扫描:

sudo nmap <internal-ip-address>

(需要nmap包装)。它可能会显示您可能不知道的各种设备上打开的端口和服务。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.