Назад | Перейти на главную страницу

Почему мой порт 25 так активен?

Используя netstat -na, я замечаю, что у меня много соединений, например

tcp        0      0 XXX.XXX.XXX.XXX:25        YYY.YYY.YYY.YYY:13933     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:25        ZZZ.ZZZ.ZZZ.ZZZ:9528     ESTABLISHED

Это адреса в США, Бразилию и т.д., несмотря на то, что мой сервер находится в Великобритании.
Может ли это быть «незаконным» действием, вроде рассылки спама или чего-то подобного?

[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win 16660
20:54:34.036073 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 1:90(89) ack 1 win 46
20:54:34.304356 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 90 win 16637
20:54:34.304433 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: P 90:110(20) ack 1 win 46
20:54:34.568451 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 110 win 16632

Да.

Или, по крайней мере, это пытаются. Если у вас открыт порт 25, вы можете быть уверены, что кто-то попытается ретранслировать почту через вас. Если у вас открыт порт 80, вы можете быть уверены, что кто-то попытается использовать ваш сайт. Если у вас открыт порт 22, вы можете быть уверены, что кто-то попытается вас перебить. Заметили узор?

К счастью для вас, они почти полностью дилетантские. Используйте такие инструменты, как файлы журнала, telnet и tcpdump, чтобы убедиться, что это только попытки и вас не используют для рассылки спама.

Порт 25 - это стандартный порт, на котором работает SMTP-трафик. Если вы хотите, чтобы ваша система была почтовым сервером, то это могут быть легальные серверы, которые пытаются отправлять вам или вашим пользователям электронную почту. Если вы не собираетесь использовать свою систему в качестве почтового сервера, выясните, как отключить 25-й порт.

Исторически почтовые серверы были настроены так, чтобы вежливо отправлять электронную почту другим серверам. Сегодня это плохо, плохо, плохо. Это называется открытой электронной почтой. Было бы разумно убедиться, что вы этого не делаете. Но не заходите слишком далеко и не пытайтесь заблокировать трафик порта 25, если вы действительно собираетесь принимать электронную почту из внешнего мира.

Если он вам нужен, он должен быть открыт. Попробуйте заблокировать тех, от кого вы принимаете smtp-соединения. Вы можете получить внешний фильтр спама / вирусов, на котором размещаются DNS-серверы, записанные в MX. Тогда только accepttp smtp из их сети.

Обратите внимание, что tcp-порт 587 - это порт отправки почты RFC.

У вас есть почтовый сервер на этой машине?
Если нет, закройте порт (брандмауэр), и этого должно быть достаточно.
Если да, то посмотрите в свой mail.log (/var/log/mail.log), что там происходит. Там будет сказано, кто подключился и что было сделано.
Если IP-адреса пытаются отправить много электронной почты несуществующим пользователям в вашем домене или в другие домены, или другую «нелегальную» активность (заблокированную или успешную), я бы отбросил их в брандмауэре, если они будут делать это часто и каждый день, но это только личный выбор, не обязательный вариант, и вы не можете оставаться там весь день, глядя на все соединения, чтобы заблокировать всех !!!

После этого, я думаю, вам следует исследовать, пересылает ли ваша электронная почта электронную почту тем, кто об этом просит или нет. В любом случае, если у вас есть почтовый сервер, люди будут пытаться им воспользоваться. Вы ничего не можете сделать против их попытки ... но вы должны иметь возможность видеть в журнале, удалось ли им выполнить ретрансляцию или они были заблокированы. Убедитесь, что ваш почтовый сервер настроен так, чтобы не ретранслировать ненадежные или неизвестные серверы (или известные и не разрешенные, конечно! :)).

Изменить: только что вспомнил ... если у вас нет почтового сервера, а порт 25 открыт, я думаю, вам нужно также взглянуть на другие порты и закрыть неиспользуемые.

Если ваш сервер / компьютер является почтовым сервером, проверьте его с помощью http://mxtoolbox.com/ чтобы увидеть, не открытое ли это реле. Если MxToolbox скажет, что это нехорошо, можно предположить, что входящие соединения, скорее всего, не причиняют вам никакого вреда (за исключением попытки ретрансляции через вас, которая безуспешна). Вы можете проверить свой сервер, есть ли он в списке спама, чтобы убедиться, что вы сами не отправляете спам.