Bloquear saída alta smtp/spamer

O que é spam?
Spam é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem é chamada de UCE (do inglês Unsolicited Commercial E-mail).
O que são spam zombies?
Spam zombies são computadores de usuários finais que foram comprometidos por códigos maliciosos em geral, como worms, bots, vírus e cavalos de tróia. Estes códigos maliciosos, uma vez instalados, permitem que spammers utilizem a máquina para o envio de spam, sem o conhecimento do usuário. Enquanto utilizam máquinas comprometidas para executar suas atividades, dificultam a identificação da origem do spam e dos autores também. Os spam zombies são muito explorados pelos spammers, por proporcionar o anonimato que tanto os protege.
Com esta breve explicação vamos continuar já passei por usuários comprometidos e gerando transtornos para os demais membros da lan, depois de muito garimpo reuni as ideias disponíveis e montei esta sequencia de regras,
/ip firewall mangle add action=mark-packet chain=forward comment="Filtro antispamer 1/6" dst-port=25 new-packet-mark=smtp passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-packet chain=forward comment="Filtro antispamer 2/6" dst-port=26 new-packet-mark=smtp passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-packet chain=forward comment="Filtro antispamer 3/6" dst-port=465 new-packet-mark=smtp passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-packet chain=forward comment="Filtro antispamer 4/6" dst-port=587 new-packet-mark=smtp passthrough=yes protocol=tcp
/ip firewall filter add action=drop chain=forward comment="Filtro antispamer 6/6" src-address-list=spamer
/ip firewall filter add action=add-src-to-address-list address-list=spamer address-list-timeout=18h chain=forward comment="Filtro antispamer 5/6" connection-limit=3,32 packet-mark=smtp protocol=tcp src-address-list=!spamer_liberado tcp-flags=syn
/ip firewall address-list  add address=192.168.0.1 list=spamer_liberado
Basicamente cliente que utilizar constantemente as portas smtp será bloqueado por 24hrs, e se necessário o endereço do usuário pode ser adicionado a Address Lists para sair fora do filtro

Mais informações em: https://wiki.mikrotik.com/index.php?title=How_to_autodetect_infected_or_spammer_users_and_temporary_block_the_SMTP_output
Principal fonte de pesquisa: http://www.antispam.br/conceito/

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Regras prontas para o RouterOS Firewal part 1

Imagem
Não é muito sensato investir em uma RB e deixar ela com as pernas abertas para o mundo, por isto vou começa hoje a deixar aqui algumas regras que tenho prontas para prevenir alguns problemas que podem ocorrer. 1º a porta UTP 53 é responsável pelo serviço DNS já a TCP constantemente é atacada /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53" dst-port=53 protocol=tcp /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53 Externo" dst-port=53 in-interface=pppoe-out1 protocol=udp 2º ataques DDos podem tirar suas noites de sono já tenho de antemão preparado esta sequencia de regras em caso de emergência ativo a 3 regra e deixo a RB trabalhar /ip firewall filter add action=add-src-to-address-list address-list=DDos_blacklist address-list-timeout=1d chain=input comment="Prote\E7\E3o DDos 1/5" connection-limit=32,32 protocol=tcp add action=tarpit chain=input comment="Prote\E7\E3o DDos 2/5" connectio...
Leia mais

Criando Certificado RSA e Incorporando na OVPN criada

Imagem
RSA é um algoritmo de criptografia de dados, que deve o seu nome a três professores do Instituto de Tecnologia de Massachusetts (MIT), Ronald Rivest, Adi Shamir e Leonard Adleman, fundadores da actual empresa RSA Data Security, Inc., que inventaram este algoritmo — até a data (2008) a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números. É considerado dos mais seguros, já que mandou por terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave pública. O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. A criptografia RSA atua diretamente na internet, por exemplo, em mensagens de emails, em compras on-line e o que você im...
Leia mais

Instalando no-ip no CentOS 6 "Dynamic DNS"

O grande obstáculo para rodar servidores ou programas de acesso remoto em uma conexão com IP dinâmico é justamente o fato de que o endereço muda constantemente. Você poderia muito bem instalar um servidor web, configurado para usar a porta 8080 e dizer para para um amigo acessá-lo através do http://seu-endereço-ip:8080, mas ele precisaria perguntar o endereço novamente cada vez que fosse acessar seu servidor, já que o endereço seria diferente. A situação seria ainda mais complicada se você precisasse acessar seu micro via SSH (ou qualquer programa de acesso remoto), já que se você não está em casa, não há como saber o endereço corrente. A solução para o problema é utilizar um serviço de DNS Dinâmico (Dynamic DNS), onde você pode registrar um endereço de acesso como "meu-nome.no-ip.org", que passa a apontar para seu endereço IP corrente. Então vamos lá! A 1ª coisa a se fazer para usar este serviço é criar uma conta no no-ip, então se ainda não o fez . . . http://www.noi...
Leia mais