Izbornik Zatvoriti

Mikrotik: zaštita mreže od spambotova

Skraćena veza: https://pedja.supurovic.net/veza/1505

Kada je neki računar zaražen spambotom, on počinje da šalje ogromu količinu spama po celom Internetu. Ako ne pratite saobraćaj, problem ćete primetiti tek kada IP adresa vaše mreže bude stavljena na crne liste zbog spamovanja.

Da biste to predupredili možete preduzeti neke zaštitne mere, a ne možete se osloniti na same korisnike da će oni da se štite od virusa i trojanaca, niti vi to možete da radite na njihovim računarima. Zato imate Mikrotik koji će da obavi posao.

Zaštita blokiranjem svih konekcija na SMTP port

Imejl se šalje SMTP protokolom na standardni port 25.  Dovoljno je da blokirate sve odlazne konekcije na port 25 TCP i više neće biti moguće slati imejl sa vaše mreže na Internet. To ćete napraviti komandom:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 action=drop

Neke konekcije nikada ne treba da imaju tretman spama

Blokiranje svih SMTP konekcija je radikalno rešenje, jer onemogućava ama baš svaki protok imejla. Obično neke konekcije treba propustiti. Nisu ipak svi korisnici mreže spameri, a imejl je neophodan servis koji ne možete tek tako da zabranite.

Prvo ćemo napraviti listu adresa koje nikako ne treba smatrati spamerima. U tu listu po pravilu treba da uđu poznati imejl serveri, ili neki specifični servisi ili korisnici, jer oni zaista uspostavljaju veći broj istovremenih konekcija ali je to normalna pojava. Napravićemo listu:

/ip firewall address-list add list=nisu_spameri address=10.10.10.2 disabled=no
/ip firewall address-list add list=nisu_spameri address=10.10.10.4 disabled=no

Zatim ćemo njima uvek odobravati konekcije i dolazne i odlazne:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                    src-address-list=nisu_spameri action=accept
/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                    dst-address-list=nisu_spameri action=accept

Ovim smo obezbedili da će zadatim računarima biti uvek omogućeno da šalju i primaju imejl jer oni nikaa neće biti tretirani kao spameri, čak i ako se ponašaju tako da to liči na spam. Naravno, treba voditi računad ana listu onih koji nisu spameri stavimo samo računare za koje smo sigurni da zaista neće proizvoditi spam.

Blokiranje samo prepoznatih spamera

Sada možemo Mikrotik naučiti da prepoznaje spam. Poći ćemo od pretpostavke da normalan korisnik imejl poruke šalje jednom konekcijom na željeni SMTP server a ne sa više istovremenih konekcija. Ipak moramo pretpostaviti da korisnik može imati više različitih imejl naloga i da za svaki korsiti različit SMTP tako da je moguće da se desi da istovrmeno šalje poruke na više servera, ali da to neće biti veliki broj servera.

Sigurnosti radi, pretpostavićemo da korisnik neće slati odjednom poruke na više od šest servera. Znači naučićemo Mikrotik da prepozna korisnika koji istovremeno pokuša više od šest konekcija na SMTP servere, i da smatra da je to u stvari spambot.

Evo komande koja će ga tome naučiti:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                     connection-limit=6,32 \
                     action=add-src-to-address-list address-list=spameri \
                     address-list-timeout=12h

Ovim se Mikrotiku nalaže da, ako korisnik sa jedne te iste IP adrese pokuša više od šest konekcija na port 25 da tog korisnika smesti u listu adresa nazvanu spameri i da ta adresa na listi ostaje 12 časova.

Ovde je bitan parametar connection-limit koji ima dva dodatna parametra: prvi broj je broj istovremenih konekcija, a drugi broj je maska IP adrese. /32 znači da se pravilo primenjuje na svaku IP adresu posebno.

Nakon ovoga, Mikrotik će prilikom pojave spamera koji pokuša više od šest konekcija označiti kao spamera i ta oznaka će trajati narednih 12 časova (komanda address-list-timeout).  Ovaj period će važiti od poslednjeg prepoznatog pokušaja spamovanja, tako da ako spamer konstantno pokušava da šalje spam, stalno će mu se i ažurirati vreme stavalja na listu te će mu i slanje spama biti stalno blokirano. Blokada prestaje tek nakon 12 sati od njegovog prestanka pokušaja slanja spama.

Sada samo treba spamera blokirati:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                      src-address-list=spameri action=drop

Ova komanda znači da svaku konekciju na port 25 treba blokirati, ako je potekla sa IP adrese koja se nalazi na listi prepoznatih spamera.

Korišćenje lokalnog imejl servera

Dobar način da rešite problem spama je i taj da postavite lokalni SMTP server u svoju mrežu. Serve podesite da prima poruke iz lokalne mreže i prosleđuje ih dalje gde treba, ali ga opremite dobim detektorom spama, i skenerom za viruse i trojance.

Tada možete korisnike uputiti da umesto SMTP server na Internetu, uvek koriste vaš lokalni SMTP serer. Dobit je višestruka.

Drastično ćete smanjiti broj poslatih virusa i trojanaca uključujući i one koje se ne pokazuju kao spam botovi pa Mikrotik ne može da ih prepozna po broju konekcija.

Moći ćete da filtrirate sve oblike spama po raznim kriterijumima što Mikrotik nikako ne može da postigne.

Slanje imejla u lokalnoj mreži može ići mnogo većom brzinom nego kada se to šalje preko Internta. Vaš server će brzo do korisnika da primi poruku, a onda će on da je pošalje gde treba. Korisnici itekako umeju da cene tako nešto.

Kada postavite ovakav SMTP server onda možete zaista da blokirate sve izlazne SMTP konekcije osim one koje pravi vaš lokalni server, jer za njima više neće biti potrebe – sve poruke će biti slate preko tog servera, a svaki pokušaj slanja poruka direktno na Internet možete smatrati spamom.

Zaključak

Po statistikama, spam čini i preko 90% svim imejl poruka. Zbog toga je vrlo važno da administrator svake mreže povezane na Internet bude svestan koliki je to problem i da preduzima sve moguće mere da suzbija spam, ne samo onaj koji prave njegovi korisnici nego i onaj koji je njegovim korisnicima poslat.

Mikrotik je odličan alat koji u tome može da pomogne. Objašnjenja i primeri dati  uovom uputstvu treba da vam posluže da ih prilagodite i upotrebite na svom sistemu i tako povežate bezbednost i rasteretite i svoju mrežu i Internet od traćenja resursa na spam.

2 Comments

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *

Popunite izraz tako da bude tačan: *

Ovo veb mesto koristi Akismet kako bi smanjilo nepoželjne. Saznajte kako se vaši komentari obrađuju.