ISP bloqueó el puerto 25 debido a spam

20

Pregunta principal:

¿Es posible ser infectado con un software de bot / spam en Ubuntu (o cualquier otra distribución)?

Detalles:

Mi ISP bloqueó mi puerto 25 (y 465) para conexiones salientes ( conexiones salientes, desde el hogar al servidor remoto) a SMTP, por lo que no puedo usar los correos electrónicos de mi empresa desde mi hogar en este momento. Su razonamiento para bloquearme es: "debido a que envías spam", lo cual no soy y me dijeron que si no lo estoy enviando, probablemente mi sistema operativo esté infectado ...

Podría usar una lista completa de herramientas y guías para verificar el sistema ( Ubuntu 13.10 14.04 64bit ) en busca de infiltrados / malware / rootkits.

PD

  • También tengo instalado Windows 8.1 (64 bits) solo porque también me gusta jugar en la computadora de mi casa ... pero eso es lo que solo hago en Windows ... cuando tengo tiempo ...

  • La conexión inalámbrica está apagada e incluso si está encendida está protegida con pase.

  • El escaneo de Windows no reveló nada ni debería haberlo hecho, ya que
    hay ventanas y juegos instalados allí.

  • Puedo conectarme a otros puertos para SMTP pero nuestro servidor usa 25 y eso no puede cambiar

  • También probé la conexión al puerto 25 desde Windows (usando Thunderbird)

  • Uso thunderbird para el cliente de correo electrónico en ubuntu y probé algunos otros solo para verificar que no era una configuración incorrecta de thunderbird.

  • Telneting también genera tiempo de espera de conexión ...

EDITAR: Mi ISP aún se niega a desbloquearme ... Tal vez tendré que abrir 587 en el servidor, ya que eso no está bloqueado en este momento (todavía puedo usar Gmail)

EDITAR 2:

Supongo que hoy estuve conectado con otro técnico del soporte de mi ISP y me dijo que no hay un bloqueo de ellos ... ¡Estaba furioso! No sé qué estaba haciendo el técnico anterior ... tal vez es nuevo y estaba leyendo un guión ...

Así que probé otro ISP a través de la conexión desde mi teléfono y logré enviar correos electrónicos con éxito a través del puerto 25. Esencialmente no cambié nada, solo el ISP. ¿Me están tomando el pelo? ¿Quizás el soporte técnico no sabe cómo interpretar lo que buscan en sus pantallas para mi cuenta o podría ser otra cosa?

Otro paso que tomé fue restablecer completamente mi enrutador a su configuración predeterminada y obtener otra IP dinámica. Todavía no hay conexión al puerto 25.

Estoy planeando obtener un enrutador usado de algún amigo o algo para probar con otro enrutador solo para asegurarme de que el problema radica en mi ISP.

EDITAR 3: Ha pasado un tiempo desde mi última actualización de esta pregunta. Me mudé de regreso a mi antigua casa (que está en una parte diferente del país) donde tengo el mismo proveedor de internet. La misma compañia !! Mi configuración solo funciona como se esperaba. Puedo enviar correos electrónicos bien utilizando el puerto 25. Apuesto a que el problema era con ese desagradable enrutador ZTE que el ISP entrega a los nuevos clientes.

smtp Petsoukos
fuente
Necesita algo como esto barracuda.com/products/spamfirewall pero son caros
Tasos
¿Quizás corriste algo así nmap somehost/24 -p 25?
d33tah
Además de las otras respuestas, el ISP puede estar haciendo lo que la mayoría de los ISP hacen ahora: bloquear globalmente el SMTP saliente. ¿Su ISP tiene un servidor SMTP que puede transmitir? por ejemplo, stmp. [isp.com]?
jqa
1
¿Configuró su servidor de correo para no retransmitir el correo desde otro lugar?
Shadur
1
este es el mundo del hombre de software, dentro del mundo cibernético, todo es posible, los sistemas operativos no pueden volverse inmunes, 'virus' es simplemente un nombre para un programa roguro que alguien codificó, básicamente estás preguntando "¿puede incluso ejecutarse el programa de alguien? ubuntu "- ¡POR supuesto!
pythonian29033

Respuestas:

32

¿Es posible?

¿Por qué no lo sería? Ubuntu es un sistema realmente flexible que comparte muchos problemas con la mayoría de los otros sistemas operativos:

  • El software en Ubuntu puede ser explotado
  • No necesitas root para ejecutar un demonio de spam.
  • Las personas pueden descifrar la autenticación débil
  • Los usuarios de Ubuntu pueden ser convencidos de instalar / ejecutar casi cualquier cosa
  • Una vez dentro, los hackers pueden cargar / descargar remotamente más software para enviar spam

Seamos realistas sobre la seguridad aquí. Un exploit Flash multiplataforma podría traducirse fácilmente en un dropper cargando e instalando un demonio de spam que se ejecuta solo al iniciar sesión. No necesita root.

Vuelva a verificar la historia del ISP

"¡Pero mi ISP no me mentiría!" Dijo que nadie nunca . Muchos ISP domésticos bloquean habitualmente el puerto 25 y otros lo obligan a usar sus servidores SMTP (esa es la única conexión p25 saliente que permitirán).

Ser moderador me permite ver su IP y he revisado el ISP de su hogar. Si buscas en Google su nombre y "puerto 25" o "smtp", verás a muchas otras personas en situaciones similares. Y tienen un servidor SMTP central.

Sé que dijiste que este es un problema nuevo, pero solo verifica que no sea tu ISP (o que necesite la configuración correcta mientras estás en tu ISP). La solución al final aún debería funcionar para usted.

Encontrando el problema

Aunque es posible, todavía no estoy seguro de que sea el objetivo más probable. Si eres como yo, estás rodeado de dispositivos conectados a Internet y necesitas mirarlos a todos.

Comenzaría pidiéndole al ISP alguna evidencia. Las marcas de tiempo al mínimo, pero sería genial ver lo que están usando para asegurarse de que no se haya salido mal una marca automática.

  • Podría ser que alguien haya marcado un correo electrónico de trabajo con el departamento de abuso del ISP.
  • Necesita saber qué sistema operativo estaba usando en ese momento. Tanto Ubuntu como Windows mantienen registros de autenticación, así que compárelos con cualquier evidencia que puedan enviarle.

  • Registre la actividad saliente del puerto 25 con algo como:

    iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"

    Sinceramente, no estoy seguro de si eso funcionará si ya estás bloqueado, pero vale la pena intentarlo. Varios firewalls de Windows le ofrecerán varias alternativas de registro.

  • Tenga en cuenta que cualquier dispositivo en su conexión podría estar enviando correos electrónicos, no solo su computadora. Teléfonos, tostadoras habilitadas para wifi, vecinos traviesos, etc. Encontrar lo que está enviando este correo podría requerir una intercepción y registro de paquetes a nivel de red. Todo esto es posible, pero es un dolor en la parte trasera.

  • Una vez que haya agotado las posibilidades más probables, elija su software antivirus Linux . No puedo hablar personalmente por ninguno de ellos o sus tasas de detección.

Trabajando alrededor de un bloque inmediatamente

Si necesita continuar, la forma más fácil de continuar enviando correos electrónicos es a través de algún tipo de conexión ofuscada o encriptada. Si tiene acceso a un servidor SSH (por ejemplo, en el trabajo), ese puede ser el mejor método.

ssh -D9100 user@host

Luego simplemente modifique su cliente de correo electrónico para usar una dirección proxy SOCKS localhost, puerto 9100. Su ISP no podrá interferir con esto y me sorprendería mucho si lo que envía el correo no deseado puede adivinar la configuración de SOCKS.

¿Qué es lo más probable en este caso ...?

Verifique si puede enviar correos electrónicos a través del servidor SMTP de su ISP. Lo he comprobado, el tuyo tiene uno. Pueden estar obligando a todos sus usuarios a usarlo, ya que es muy común. La persona de soporte técnico podría estar confundida.

Solicite a otro usuario (con otra cuenta, en otra línea telefónica) que intente conectarse al SMTP de su empresa. Esto se puede hacer rápidamente con telnet example.com 25.

  • Si no pueden conectarse, suponga que esto es para todo el ISP, no solo su cuenta, por lo que probablemente no sea un problema de seguridad ... Es algo con lo que tendrá que trabajar o evitar.

  • Si pueden conectarse, estás de vuelta en el punto de partida. Ha habido algo enviando un correo electrónico desde su red que ha provocado que su ISP lo bloquee. Los virus, la monitorización del tráfico y la paranoia son tus mejores amigos aquí.

Oli
fuente
1
De hecho, algunos ISP simplemente lo bloquean como una cuestión de política, por lo que es muy probable, por lo que debe solicitar una prueba. Si algo en su red doméstica realmente está enviando espacio, encontrarlo no es exactamente fácil.
psusi
Aceptaré esto como respuesta ya que contiene información útil. Revisé mi instalación de Windows con varias herramientas de escaneo ... no encontró nada. Ni siquiera rastrear cookies ... En cuanto a mi instalación de Ubuntu, simplemente ejecuté la herramienta rkhunter y tampoco encontré nada ... (por favor, avíseme si hay otras herramientas que pueda probar para mi situación específica)
Petsoukos
@Petsoukos Probablemente preferiría un antivirus de escaneo real que una herramienta como rkhunter. Tal vez estoy siendo injusto, pero no los cuento en la misma liga que los demás.
Oli
Esta respuesta pasa por alto la posibilidad de que sea un retransmisor de spam abierto. Es una buena información, pero puede estar ayudándole a mantener accesible su máquina mal configurada.
casey
@casey No llego a esa conclusión de la pregunta. En absoluto. Menciona la conexión a un servidor de trabajo que solo admite el puerto 25 ...
Oli
8

Ciertamente es posible estar infectado y ser parte de una botnet en Ubuntu. Pero también es muy, muy poco probable.

Debería poder pedirle a su ISP sus registros. Te ayudarán a encontrar el problema. Es difícil diagnosticarlo desde aquí, pero su conexión inalámbrica tiene una buena probabilidad de ser la culpable. Compruebe que está utilizando WPA2 por seguridad y que WPS está desactivado.

Después de resolver su problema y dejar de enviar spam por un tiempo, probablemente pueda convencer a su ISP para que desbloquee sus puertos.

Javier Rivera
fuente
3
"Compruebe que está utilizando WPA". WEP y WPA son vulnerables. Me aseguraría de que estés ejecutando WPA2.
MiniRagnarok
Lo he editado ya que estoy de acuerdo en que WPA2 es más seguro. Pero AFAIK no hay ninguna vulnerabilidad conocida en WPA que pueda permitirle conectarse a una red (sin contraseñas forzadas o utilizando WPS para obtener la contraseña).
Javier Rivera
El soporte técnico de mi ISP probablemente no sabe de qué estoy hablando cuando hablo con ellos ...
Petsoukos
5

Es una práctica común bloquear el puerto saliente 25, ya que debido a las preocupaciones de spam, se desanimó para el envío original de correo electrónico. Todavía se usa entre servidores de correo.

El puerto adecuado (y generalmente no bloqueado) para enviar correo electrónico (original) es el puerto 587, el llamado puerto de envío. Los proveedores de correo generalmente lo admiten, los operadores del sistema generalmente no lo bloquean.

fstd
fuente
4

Muchos ISP bloquean los puertos 25 y 80 para todas sus cuentas de consumidor. Yo uso un servicio de alojamiento web que incluye servicio de correo electrónico. me proporcionan un servidor smtp en un puerto no estándar para correo electrónico saliente. Funciona en cualquier parte. Es muy posible que tenga acceso a algo similar. Piense en los servicios que ya tiene e indague.

Bagazo
fuente
2

Muchas de las otras respuestas se centran en que alguien use su wifi o infecte sus máquinas. Estos son posibles pero pasan por alto la explicación más simple (la navaja de afeitar de Occam ...).

Lo más probable es que esté actuando como un relé abierto, lo que significa que cualquier persona en el mundo puede conectarse a su máquina y simplemente pedirle amablemente que envíe correo a algún lugar, y lo hará, sin hacer preguntas. Esto es con frecuencia por qué los ISP lo bloquearán porque es una prueba simple para que lo hagan. Analizarán el bloqueo de IP de sus clientes y pedirán cualquier cosa en el puerto 25 para transmitir un mensaje de prueba y, si lo hace, es un spammer. Puede ser el caso de que nadie esté usando su relé, pero su mera existencia es suficiente para ser bloqueado.

Para probar si es un retransmisor abierto, haga telnet a su servidor de correo y hable con él. Las líneas en negrita son las que escribe.

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
554 5.7.1 <[email protected]>: Relay access denied

Las líneas que se escriben son los helo, mail from:y rcpt to:las líneas. Asegúrese de usar direcciones que no sean locales para usted, ambas deben ser hosts remotos. Si no recibe el error 554 relay denied, es una puerta de enlace de spam mal configurada y correctamente bloqueada.

La forma más sencilla de remediar esto es requerir autenticación para enviar correo a través de su MTA. Los detalles para configurar esto dependen del MTA que esté ejecutando, un detalle que no está presente en su pregunta.

casey
fuente
Creo que en ese caso debería tener un servidor de correo instalado en mi máquina doméstica, lo cual no es así. ¿Correcto? No estoy tratando de enviar desde mi máquina como servidor de correo, sino para conectarme a mi servidor remoto real (fuera del sitio).
Petsoukos
0

Solo para asegurarse de que no tenga algo malo ejecutándose en su caja o red Linux.

Comprueba tu red tú mismo

Comience ejecutando esto en su máquina Linux en casa:

netstat -ta

Esto enumerará todas las conexiones tcp que están establecidas o que están escuchando (con servidores detrás de ellas). Si hay algo que no espera, debe investigar más a fondo.

Otro comando muy útil que enumeraría todos los procesos con conexiones a Internet que mantuvieron abiertos es:

sudo lsof -i

(necesitará tener el lsofpaquete instalado).

Tenga en cuenta que las pruebas anteriores no cubrirán otros dispositivos que compartan su conexión a Internet: teléfono, tabletas, dispositivos habilitados para Internet, vecinos que aprovechan su conexión, etc., como mencionó Oli. Si tiene una lista de sus IP internas, puede ejecutar un escaneo de puertos externo en cada una de ellas, una por una, desde su caja de Linux:

sudo nmap <internal-ip-address>

(requiere el nmappaquete). Puede revelar puertos y servicios abiertos en varios dispositivos que quizás no conozca.

arielf
fuente