اسپم ، Port scan چیست؟
با سلام
خیلی از دیتاسنتر ها مثل Hetzner روی اسپم (ارسال ایمیل های هرز)، Port scan ، Net scan حساس هستند و در صورت مشاهده بلافاصله به کاربر خاطی Abuse (یا اخطار) میدن.
دیروز یکی از دوستان با همین مشکل روبه رو شده بود و من دست به کار شدم تا کاری کنم که هرگونه اسپم و پورت اسکن در صورت مشاهده بلاک شود.
اصطلاح ها
- اسپم: ارسال یک یا چند ایمیل تبلیغاتی (یا با هر عنوان دیگر) به تعداد زیادی دریافت کننده (Receiver)
- اسپمر: یک شخصی که میخواهد ایمیل هرز ارسال کند.
- Port scan: پوییدن (Scan) پورت های یک یا چند آی پی (IP) در لحظه
- Net scan: پوییدن (Scan) یک رنج آی پی برای مقاصد شوم (Hack)
- SMTP: پروتکل ارسال ایمیل
اسپم:
– توضیحات
همیشه باید برای انجام یک کار قبل از آن حدود ۵ الی ۱۰دقیقه (نسبت به IQ/EQ شخص) روی یک موضوع فکر و موضوع رو ترسیم (Trace) کرد.
در اینجا اگر از اول بخواهیم روش کار یک اسپمر را تعریف کنیم، این شخص احتمالاٌ یک برنامه دارد که داخل این برنامه اطلاعات یک Mail server را وارد کرده است ، سپس دریافت کننده های ایمیل و در آخر متن ایمیل.
این شخص برای ارسال Mail ها ۳ روش را معمولاٌ انتخاب میکند:
۱. ارسال یک Mail با قرار دادن تمامی دریافت کننده ها در BCC (اگر احمق نباشد و در To نگذارد)
اگر روش یک را انتخاب کند معمولاٌ Mail سرور ها قابلیت تشخیص Spam دارند و به راحتی با مکانیزم هایی تشخیص میدهند یک Mail که به تعداد زیادی دریافت کننده ارسال شده است احتمالاٌ اسپم است و من آن را بلاک میکنم و اگر تکرار شد من در لیست Black list های جهانی قرارش میدهم تا دفعه بعد در صورت دریافت از آن Mail سرور درجا Reject شود.
در این روش فقط یک کانکشن و یک درخواست را خواهیم داشت.
۲. ارسال چندیدن Mail به تعداد محدودی ایمیل (به طور مثال هر دفعه به ۱۰ دریافت کننده ارسال کند با باز های زمانی مختلف)
روش دوم منطقی تر میباشد و معمولاٌ این روش استفاده میشود. در این روش اسپمر برای اینکه در Black list قرار داده نشود و ایمیل Spam شناخته نشود، هر Mail را در بازه زمانی های مختلف به تعداد محدودی دریافت کننده ارسال میکند.
در این روش چندین کانکشن در بازه زمانی های مختلف خواهیم داشت
۳. ارسال Mail به تعداد دریافت کننده ها
این روش معمولاٌ استفاده نمیشود مگر اینکه اسپمر ناشی باشد.
در این روش تعداد زیادی کانکشن در لحظه خواهیم داشت
روش های مقابله
در روش اول با توجه به اینکه فقط یک کانکشن به سمت فایروال میاید راه مقابله با آن بستن پورت های SMTP میباشد. این پورت ها به صورت معمول ۲۵ و ۵۸۷ میباشد. پس کامند های زیر را جهت بلاک کردن این پورت ها در سرور خود میزنیم.
iptables -I INPUT -p tcp -m multiport –dports 25,587 -j REJECT
سلام.واقعا وبسایت خوبی دارید
تو زمینه ای که فعالیت میکنید جزو بهترین سایت ها هستید.
I am sure this post has touched all the internet visitors, its really really good piece of writing on building
up new weblog. There is definately a lot to learn about this
issue. I really like all of the points you have made.
This is a topic that’s close to my heart… Many thanks!
Where are your contact details though? http://cspan.co.uk