ISP blokuje provoz detekovaný jako SMTP protokol

[marts]

Mám internetové DSL připojení od O2 a na něm vlastní emailový server na pevné veřejné IP adrese v bezproblémovém provozu už přes 5 let.
V pátek se mi při odeslání zprávy z mého serveru (s emilovou adresou příslušející k tomuto serveru), na emailovou adresu kterou mám na O2 email serveru, tato vrátila s tím, že moje IP adresa je blokovaná na základě seznamu Spamhaus CSS.
Kontaktoval jsem Spamhaus a nechal adresu serveru vymazat - odesílání do O2 už funguje.
Mezitím ale v sobotu 29.5. přestal být můj emailový server schopen domluvit se s cílovými servery a zrovna tak když pošlu email z jiého serveru na můj, tyto se na něj nedostanou. Ani O2 server ne.
Servery hlásí že došlo k timeoutu po EHLO.

Podrobným zkoumáním jsem zjistil, že někde po cestě je zřejmě zapnutý Deep Content Inspection firewall, který jakmile ve vyměněných paketech detekuje typickou komunici SMTP, tak tuto utne. Když se změní port, tak první pokus ještě projde, ale pak se zřejmě informace získaná DCI nacachuje a žádná další komunikace není možná.

Komunikoval jsem s O2 guru - prý to předají dál.

Nevylučuji, že se u mne doma vyskytlo nějaké zařízení které začalo rozesílat spam a na základě toho se moje IP adresa ocitla na blacklistu - vzhledem k primitivním možnostem O2 SmartBox toto není možné vysledovat - budu nahrazovat standardním routerem/firewallem.

Setkal se někdo s takovou situací? Jak jste to řešili?

[soban]

Tak pokud tam máš vlastní SMTP server tak skoukni jeho logy zda se někdo nezbláznil a nerozesílá spam.

Ve firewallu zablokuj port 25 a nech ho průchozí pouze na ten tvůj server.

Jinak pokud jsi se dostal na blacklist Spamhausu tak z tvé sítě asi nějaký bordel teče, problém je že všechny stroje máš za natem a může to rozesílat i nějaký jiný tvůj PC a nejde to přes ten tvůj SMTP server.

Takže jako první bloknout od tebe SMTP spojení kromě toho SMTP serveru a ten skouknout zda není napaden.

[marts]

Můj server je OK, logy jsem kontroloval - přikláním se k napadenému zařízení na domácí síti, přesně jak zmiňuješ - jelikož je to přes NAT tak cokoli doma může způsobit zařazení na blacklist.
No a jak jsem psal, O2 SmartBox má sice "možnost" uživatelsky nakonfigurovat firewall pravidla, ale k této možnosti neexistuje návod. Je to nastavitelné pouze přes Web GUI a když zkusím pravidlo zadat, tak krabice vyhlásí chybu buď "nesprávná aplikace" nebo "nesprávný popis". Objednal jsem si Ubiquiti EdgeRouter X (dostanu v úterý), ten dám za starý VDSL modem (v bridge režimu) a SmartBox použiju maximálně jako Wifi AP. Nastavení firewallu bude prevence/ochrana před rozesíláním spamu z neautorizovanýchj zařízení, snad pak z logu firewally zjistím i o které zařízení jde.
Uvidíme co mi (a kdy mi) odpoví technici z O2.

[soban]

Technici s O2 tě pošlou .......

Teď jsem řešil výpověď u O2 a to byl porod a vydírání, až když jsem byl sprostý tak po 7 minutách nesmyslných řečí konečně zadala do systému výpověď!

Ale zablokovat odchozí port pro celou sít by nemělo být tak složité, i když někdy je problém zjistit jaký formát IP ta kolonka akceptuje, obzvláště u IPv6 jsem s tím bojoval, tak to skončilo mikrotikem a modemy jsou v bridge režimu.

[milsimr]

Nemáš jednodušší na tu mašinu na který SMTP provozuješ, hodit např. pfSense a skrz něj filtrovat veškerej provoz? Nutnost mít dvě fyzický síťovky.

[soban]

To mu moc nepomůže protože by do stroje musel dát další síťovku a kdoví na čem mu to běží. A nemá tam wifi takže jak tu filtrovat atd.....

Ono fakt je lepší pořídit pořádný router (mikrotik) a za něj dát obyčejný modem v bridge režimu a na ty sračky od O2 se vykašlat, protože jsou děravé a polovina věcí nefunguje atd..... (vlastní zkušenosti)

[marts]

To je docela zajímavý nápad, síťovka by se tam dala přidat jedině přes USB - je to kompaktní server. Na druhou stranu ten server zajišťuje víc funkcí, jako media a file server, posílání meteorologických dat atd. a je postavený na Windows Server 2019 Essentials.

Asi by šlo pfSense na něm hodit do Hyper-V virtuálu, ale připadá mi, že nezávislá firewall/router krabička bude v tomto případě praktičtější.

[milsimr]

SoHo komba routerů a firewallů "v krabičce" určitě lepší řešení, než pfSense, nebude.

[marts]

Lepší výsledky se SoHo krabičkou určitě nedosáhnu, ale na pfSense by to pak chtělo vyhradit stroj úplně zvlášť.

-- 31. 5. 2021 12:09 --

Nebo koupit něco z tohoto https://www.pfsense.org/products/

[milsimr]

Proč tomu vyhradit zvlášť stroj? To máš doma tak velkej traffic? BOHATĚ stačí VM s jedním jádrem a 2 GB RAM + 10 GB virtuální oddíl. Ideálně kdybys ještě virtualizoval na ESXi / Proxmoxu, kde bys skrze virtuální switche mohl dedikovat fyzické NIC na WAN a LAN.

[marts]

Z O2 mi potvrdili blokaci, takže během úterý provedu kontroly plus zablokování nežádoucího provozu přímo u mne a pak tu blokaci O2 vypne.

[marts]

Včera provedena instalace nového routeru a nastavení firewallu. Nějaký ilegální provoz se nepotvrdil. Učiněná opatření nahlášena na O2 a dnes byla blokace zrušena - emailový server opět plně dostupný.

[soban]

Nějaký provoz tam musel být protože jinak by jsi se nedostal na blacklist, a pokud máš veřejnou IP která je jenom tvoje.....

Jinak problém může dělat i ta krabička - modem od O2 že ji někdo napadnul, ale spíš tipuji na nějaký PC, uvidíš časem chce to sledovat....

[marts]

Jediné co mi napadá bylo, že se můj server používal pro odesílání pošty pro jeden účet který má adresu atlas.cz - dříve to nevadilo, ale dnes kdy se používá SPF, DKIM a DMARC to mohlo být vyhodnoceno jako spammer i když pošta z něj byla odesílána pouze sporadicky.

[soban]

Skrz pár mailů by ses na blacklist neměl dostat i když možné to je.

Taky pokud jsi rozesílal nějakou hromadnou poštu tak si mohl nějaký příjemce taky stěžovat že byl zahlcen poštou i když legální.

Prostě chce to nějakou dobu sledovat....