Почему мой порт 25 так активен?

Question

Почему мой порт 25 так активен?

Используя netstat -na, я замечаю, что у меня много таких соединений, как

tcp        0      0 XXX.XXX.XXX.XXX:25        YYY.YYY.YYY.YYY:13933     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:25        ZZZ.ZZZ.ZZZ.ZZZ:9528     ESTABLISHED

Это адреса в США, Бразилии и т. Д., Несмотря на то, что мой сервер находится в Великобритании.
Может ли это быть какой-то "незаконной" деятельностью, например рассылкой спама или чем-то еще?

[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632

4

firewall smtp hacking intrusion-detection

Источник

user48058 18 июл '10 в 18:17

5 ответов

Другие вопросы по тегам firewall smtp hacking intrusion-detection

Matt 18 июл '10 в 18:28 2010-07-18 18:28 · Answer 1 · 2010-07-18 18:28

Да.

Или, по крайней мере, это попытка. Если у вас открыт порт 25, вы можете быть уверены, что кто-то пытается пересылать почту через вас. Если у вас открыт порт 80, вы можете быть уверены, что кто-то пытается использовать ваш сайт. Если у вас открыт порт 22, вы можете быть уверены, что кто-то пытается вас грубо обмануть. Заметили шаблон?

К счастью для вас, они почти полностью любительские. Используйте такие инструменты, как файлы журналов, telnet и tcpdump, чтобы убедиться, что это только попытки, и вы не были успешно использованы для передачи спама.

Banis 18 июл '10 в 19:18 2010-07-18 19:18 · Answer 2 · 2010-07-18 19:18

Порт 25 - это стандартный порт SMTP-трафика, на котором работает. Если вы планируете, чтобы ваша система была сервером электронной почты, то это могут быть законные серверы, пытающиеся отправить вам или вашим пользователям электронную почту. Если вы не хотите, чтобы ваша система была сервером электронной почты, выясните, как отключить порт 25.

Исторически почтовые серверы были бы настроены так, чтобы вежливо отправлять на электронную почту другие серверы. Сегодня это плохо, плохо, плохо. Это называется быть открытой электронной почтой. Было бы разумно проверить, что вы этого не делаете. Но не заходите далеко и попытайтесь заблокировать трафик порта 25, если вы действительно хотите принимать электронную почту из внешнего мира.

singer 02 авг '11 в 17:29 2011-08-02 17:29 · Answer 3 · 2011-08-02 17:29

Если вам нужно открыть это, вам нужно открыть. Попробуйте заблокировать, от кого вы принимаете SMTP-соединения. Вы можете получить фильтр нежелательной почты / вирусов, размещающий DNS-серверы MX. Тогда только примите smtp из своей сети.

Обратите внимание, что порт 587 tcp является портом отправки почты RFC.

laurent 18 июл '10 в 23:11 2010-07-18 23:11 · Answer 4 · 2010-07-18 23:11

У вас есть почтовый сервер на этом компьютере?
Если нет, закройте порт (межсетевой экран), и этого должно быть достаточно.
Если да, то загляните в свой mail.log (/var/log/mail.log), чтобы увидеть, что там происходит. Будет сказано кто подключен и что сделано.
Если IP-адреса пытаются отправить много электронной почты несуществующим пользователям в вашем домене или другим доменам или другой "нелегальной" деятельности (заблокированной или успешной), я бы бросил их в брандмауэр, если они делают это много и каждый день, но это только личный выбор, необязательный вариант, и вы не можете оставаться там весь день, просматривая все соединения, чтобы блокировать всех!!!

После этого, я думаю, вам следует провести расследование, чтобы выяснить, отвечает ли ваш адрес электронной почты тем, кто его запрашивает или нет. В любом случае, если у вас есть почтовый сервер, люди попытаются его использовать. Вы ничего не можете сделать против их попыток... но вы должны увидеть в журнале, удалось ли им ретранслировать или были заблокированы. Убедитесь, что ваш почтовый сервер настроен так, что он не ретранслирует ненадежные или неизвестные серверы (или известные и, конечно, недопустимые!:)).

Изменить: только что вспомнил сейчас... если у вас нет почтового сервера и порт 25 открыт, я думаю, что вам нужно взглянуть и на другие порты и закрыть неиспользуемые.

MadBoy 02 авг '11 в 17:46 2011-08-02 17:46 · Answer 5 · 2011-08-02 17:46

Если ваш сервер / компьютер является почтовым сервером, проверьте его с помощью http://mxtoolbox.com/ чтобы узнать, не является ли он открытым ретранслятором. Если MxToolbox скажет, что это не так, вы должны предположить, что, скорее всего, входящие соединения не принесут вам никакого вреда (за исключением попытки ретранслировать через вас, что безуспешно). Вы можете проверить свой сервер, если он находится в списке спама, чтобы убедиться, что вы не отправляете спам самостоятельно.