SpamBot absender erkennen (Cutwail)

[mongostyles]

Hallo zusammen,

kann ich mittels eines Traces an unserem Lancom Router feststellen, welcher Cient Spam versendet?

Grüße

[Dr.Einstein]

trace # ip-r @ "Port: 25,"

[backslash]

Hi Dr.Einstein,

das ist aber keine gute Idee, weil dadurch die Performance massiv einbricht...

@mongostyles
Sinnvoller ist, einen eigenen Mailserver zu nutzen und nur diesen auch nach draussen zu lassen, d.h. Port 25 für alle sperren (incl. Mail-benachrichtigung - natürlich über den eigenen Mail-Server) und nur für den eigenen Mail-Server erlauben. Dann bekommst du automatisch eine Mail, sobald ein Spambot loslegt...

Gruß
Backslash

[mongostyles]

ich steh aufm Schlauch scheine es nicht richtig konfiguriert zu haben! Denn die IP war wieder auf der Blocklist gelandet.
Wie muss die Firewall Regel aussehen das alles was über Port 25 rausgeht geblockt wird und nur ein bestimmte interne IP senden darf?

Mit trace + Firewall @ +TCP #"port:25" kann ichmir ja dann die Firewallausgabe anzeigen lassen oder?

Vorab Danke, dass ihr mich unterstützt

[backslash]

Hi mongostyles,

ich steh aufm Schlauch scheine es nicht richtig konfiguriert zu haben! Denn die IP war wieder auf der Blocklist gelandet.
Wie muss die Firewall Regel aussehen das alles was über Port 25 rausgeht geblockt wird und nur ein bestimmte interne IP senden darf?

ggf. mußt du noch den SMTPS-Port (465 und 587 - siehe http://de.wikipedia.org/wiki/SMTPS) mitfiltern. Damit sähen die Regeln dann ungefähr so aus:

Code: Alles auswählen

Name:     ALLOW-SMTP-MAILSERVER
Aktion:   übertragen
Quelle:   IP deines internen Mailservers
Ziel:     alle Stationen
Dienste:  TCP, Zielport 25, 465, 587


Name:     DENY-SMTP
Aktion:   zurückweisen, E-Mail-Nachricht senden
Quelle:   alle Stationen
Ziel:     alle Stationen
Dienste:  TCP, Zielport 25, 465, 587

Dazu mußt du noch unter Firewall/QoS -> Allgemein noch deine E-Mail-Adresse und unter Meldungen -> SMTP-Konto deinen internen Mailserver eintragen.

Damit solltest du bei jeder Spam-Mail, die von einem Bot geschickt wird, selbst eine Mail vom LANCOM bekommen (nicht bei jeder, sonern einmal pro Minute...) - es sei denn dein Mailserver selbst ist befallen, oder deine Mitarbeiter Spammen wirklich - das müßtest du aber an den Logs deines Mailservers nachprüfen können.

Mit trace + Firewall @ +TCP #"port:25" kann ichmir ja dann die Firewallausgabe anzeigen lassen oder?

trace + Firewall @ DENY-SMTP

reicht aus, wozu haben die Regeln schließlich Namen...
Aber eigentlich kannst du auf die von der Firewall gesendeten Mails warten, dann mußt du nicht dauerhaft vor dem Gerät sitzen...

Gruß
Backslash

[mongostyles]

danke backslash!!!

mein Problem das mit deiner Regel auftritt ist, dass der komplette SMTP Traffic geblockt wird!
Ich habe nun folgende Regel erstellt:

Code: Alles auswählen

Name:          ALLOW-SMTP-MAILSERVER
Aktion:        übertragen
Quelle:        IP meines internen Mailservers
Ziel:          alle Stationen
Quell Dienste: beliebig
Ziel Dienste:  TCP Port: 25,465,587

Name:          DENY-SMTP
Aktion:        zurückweisen, E-Mail-Nachricht senden
Quelle:        LOCAL-NET
Ziel:          alle Stationen
Quell Dienste: beliebig
Ziel Dienste:  TCP, Zielport 25, 465, 587

Leider ist es mir noch nicht gelungen eine E-Mail abzusetzen, weder mittels des lokalen Mail-Servers noch über einen externen.
Sind in den Regeln die Tag's egal? Oder muss ich meine passenden Routing-Tags setzen? (2x WAN Verbindung einmal für Mail usw. und eine für VPN)
Und muss ich bei den Filter Objekten noch Trigger setzen "für default Router" ?

Vielen Dank!