Борьба со спамом на порту SMTP в Mikrotik RouterOS

1) Простая конфигурация с блокировкой на 25 порту

Первая конфигурация предназначена для ограничения одновременных подключений на 25й tcp порт. Добавляет в address-list «spammer» на 12 часов заданный ip-адрес. Не допускается более 30 одновременных соединений. Грубо, но эффективно. Однако, соответствует политике защищенной сети.

/ip firewall filter
add action=drop chain=forward comment="bloack spam" disabled=no dst-port=25 protocol=tcp \
src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
1d chain=forward comment="detect spam" connection-limit=30,32 disabled=no \
dst-port=25 protocol=tcp

2) Блокировка бота с маркировкой SMTP

Вторая конфигурация более изящна и предназначена для борьбы со спам ботами и рассчитана на то, что бот при попытке соединиться с заданным smtp-сервером 1 раз при недоступности оного прекратит повторные попытки. IP-адрес первый раз попадает в address-list first-smtp, при повторной попытке — в approved-smtp. Первое соединение всегда отбрасывается, при этом генерируется icmp сообщение network-unreachable. Новые соединения маркируются в /ip firewall mangle c меткой smtp.

/ ip firewall mangle
add chain=prerouting connection-state=new protocol=tcp src-port=1024-65535 dst-port=25 action=mark-connection new-connection-mark=smtp passthrough=no

/ ip firewall filter
add action=jump chain=forward comment="anti-spam policy" connection-mark=smtp \
disabled=no jump-target=smtp-first-drop
add action=add-src-to-address-list address-list=approved-smtp \
address-list-timeout=1d chain=smtp-first-drop comment="" disabled=no \
src-address-list=first-smtp
add action=return chain=smtp-first-drop comment="" disabled=no \
src-address-list=approved-smtp
add action=add-src-to-address-list address-list=first-smtp \
address-list-timeout=1d chain=smtp-first-drop comment="" disabled=no
add action=reject chain=smtp-first-drop comment="" disabled=no reject-with=\
icmp-network-unreachable

 

2 thoughts on “Борьба со спамом на порту SMTP в Mikrotik RouterOS

  1. Как-то нелогично всё.

    1. т.е. даётся лимит на 30 исходящих в день?
    А реально, чтобы найти, точнее нашёлся, лучше блокировать на уровне Raw. Сам вызовет, бл…

    А ежели активно кто-то отписывается? Тут поумнее нужно, чтоб в белый не вносить, ибо тоже подвержен, иной алгоритм нужон.

    2. Боты быстро учатся, два шага, или даже двадцать, — не вариант решения, а вариант отсро/ачивания.

    И, наконец, всё это нужно делать с минимальными затратами ресурсов маршрутизатора, стараясь не создавать надолго объёмные Address-листы, но и не мешая юзерам. Ибо такая технология порой сильно тормозит.

    По мне проще создать скрипт, который оценивает трафик на 25 порт и по превышению (м.б. со своим белым /чёрным маском) сообщал админу, который в состоянии прологгировать и выяснить нужный адрес. потому как по трёхстам компов вне домена — не набегаешься. А доменов я — не люблю!!!!

    Вот тогда легко оперделить, кого лечить, сегодня такое делал, Кашпер бизнес им — не помог! Троян был!

  2. В целом, приемы не новы, хоть и малорезалтабельны, но приемлемы

    п.1.
    В общем, для небольшого почтового траффика, — неплохо, для секретаря, или диспетчера, порой, надо другие лимиты, но это не сложно добавить, но трояны подстраиваются, однако. Потому ставим оценку ЧЕТЫРЕ (ну из пяти)

    п.2. Весьма Обычная обманка, по которой каждый в сердцах сможет попасть в траппинг/лок.
    Кроме того, при весьма обширном списке ин_юзеров, растёт нагрузка на маршрутизатор из-за затрат на поддержание растущего списка Аддресс-листа. Траффик тоже падает, порой значительно! Исходный код можно ускорить, но тормозить всё одно будет! И почему-то весьма значительно!
    Оценка ЧЕТЫРЕ.

    Выводы:

    Тут читал запрос от какого-то админа, у которого 300 станций на адресе:
    Дык вот, проще сделать на основании п.1 (ну 10-30 дадим как первый фильтр) счетчик обращений с одного адреса на 25 порт, а заодно и иной порт, с секьюритизацией (не помню, — мне лишнее).
    Можно и ещё раз, без блокировок…. (Не надо учить ИИ Бота)

    При превышении заданного значения, Mikrotik можно настроить на извещение Админа любым методом с указанием IP/MAC-адреса спаммирующего компа.
    Вычислить который потом несложно — пропинговав, или пользуя ARP. (Вы знаете такую команду и сервис?)

    Сегодня, такое делал, но только по логам. Вычислил, и, несмотря на обновлённый Кашпер Бизнес, троян — сидел!!!
    А то вызвали по поводу: Пров глушил спамминг!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

This site uses Akismet to reduce spam. Learn how your comment data is processed.