Теме: Микротик

Микротик: заштита мреже од спамботова

Скраћена веза: https://pedja.supurovic.net/veza/1505

Када је неки рачунар заражен спамботом, он почиње да шаље огрому количину спама по целом Интернету. Ако не пратите саобраћај, проблем ћете приметити тек када ИП адреса ваше мреже буде стављена на црне листе због спамовања.

Да бисте то предупредили можете предузети неке заштитне мере, а не можете се ослонити на саме кориснике да ће они да се штите од вируса и тројанаца, нити ви то можете да радите на њиховим рачунарима. Зато имате Микротик који ће да обави посао.

Заштита блокирањем свих конекција на СМТП порт

Имејл се шаље СМТП протоколом на стандардни порт 25.  Довољно је да блокирате све одлазне конекције на порт 25 ТЦП и више неће бити могуће слати имејл са ваше мреже на Интернет. То ћете направити командом:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 action=drop

Неке конекције никада не треба да имају третман спама

Блокирање свих СМТП конекција је радикално решење, јер онемогућава ама баш сваки проток имејла. Обично неке конекције треба пропустити. Нису ипак сви корисници мреже спамери, а имејл је неопходан сервис који не можете тек тако да забраните.

Прво ћемо направити листу адреса које никако не треба сматрати спамерима. У ту листу по правилу треба да уђу познати имејл сервери, или неки специфични сервиси или корисници, јер они заиста успoстављају већи број истовремених конекција али је то нормална појава. Направићемо листу:

/ip firewall address-list add list=nisu_spameri address=10.10.10.2 disabled=no
/ip firewall address-list add list=nisu_spameri address=10.10.10.4 disabled=no

Затим ћемо њима увек одобравати конекције и долазне и одлазне:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                    src-address-list=nisu_spameri action=accept
/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                    dst-address-list=nisu_spameri action=accept

Овим смо обезбедили да ће задатим рачунарима бити увек омогућено да шаљу и примају имејл јер они никаа неће бити третирани као спамери, чак и ако се понашају тако да то личи на спам. Наравно, треба водити рачунад ана листу оних који нису спамери ставимо само рачунаре за које смо сигурни да заиста неће производити спам.

Блокирање само препознатих спамера

Сада можемо Микротик научити да препознаје спам. Поћи ћемо од претпоставке да нормалан корисник имејл поруке шаље једном конекцијом на жељени СМТП сервер а не са више истовремених конекција. Ипак морамо претпоставити да корисник може имати више различитих имејл налога и да за сваки корсити различит СМТП тако да је могуће да се деси да истоврмено шаље поруке на више сервера, али да то неће бити велики број сервера.

Сигурности ради, претпоставићемо да корисник неће слати одједном поруке на више од шест сервера. Значи научићемо Микротик да препозна корисника који истовремено покуша више од шест конекција на СМТП сервере, и да сматра да је то у ствари спамбот.

Ево команде која ће га томе научити:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                     connection-limit=6,32 \
                     action=add-src-to-address-list address-list=spameri \
                     address-list-timeout=12h

Овим се Микротику налаже да, ако корисник са једне те исте ИП адресе покуша више од шест конекција на порт 25 да тог корисника смести у листу адреса названу спамери и да та адреса на листи остаје 12 часова.

Овде је битан параметар connection-limit који има два додатна параметра: први број је број истовремених конекција, а други број је маска ИП адресе. /32 значи да се правило примењује на сваку ИП адресу посебно.

Након овога, Микротик ће приликом појаве спамера који покуша више од шест конекција означити као спамера и та ознака ће трајати наредних 12 часова (команда address-list-timeout).  Овај период ће важити од последњег препознатог покушаја спамовања, тако да ако спамер константно покушава да шаље спам, стално ће му се и ажурирати време ставаља на листу те ће му и слање спама бити стално блокирано. Блокада престаје тек након 12 сати од његовог престанка покушаја слања спама.

Сада само треба спамера блокирати:

/ip firewall filter add chain=forward protocol=tcp dst-port=25 \
                      src-address-list=spameri action=drop

Ова команда значи да сваку конекцију на порт 25 треба блокирати, ако је потекла са ИП адресе која се налази на листи препознатих спамера.

Коришћење локалног имејл сервера

Добар начин да решите проблем спама је и тај да поставите локални СМТП сервер у своју мрежу. Серве подесите да прима поруке из локалне мреже и прослеђује их даље где треба, али га опремите добим детектором спама, и скенером за вирусе и тројанце.

Тада можете кориснике упутити да уместо СМТП сервер на Интернету, увек користе ваш локални СМТП серер. Добит је вишеструка.

Драстично ћете смањити број послатих вируса и тројанаца укључујући и оне које се не показују као спам ботови па Микротик не може да их препозна по броју конекција.

Моћи ћете да филтрирате све облике спама по разним критеријумима што Микротик никако не може да постигне.

Слање имејла у локалној мрежи може ићи много већом брзином него када се то шаље преко Интернта. Ваш сервер ће брзо до корисника да прими поруку, а онда ће он да је пошаље где треба. Корисници итекако умеју да цене тако нешто.

Када поставите овакав СМТП сервер онда можете заиста да блокирате све излазне СМТП конекције осим оне које прави ваш локални сервер, јер за њима више неће бити потребе – све поруке ће бити слате преко тог сервера, а сваки покушај слања порука директно на Интернет можете сматрати спамом.

Закључак

По статистикама, спам чини и преко 90% свим имејл порука. Због тога је врло важно да администратор сваке мреже повезане на Интернет буде свестан колики је то проблем и да предузима све могуће мере да сузбија спам, не само онај који праве његови корисници него и онај који је његовим корисницима послат.

Микротик је одличан алат који у томе може да помогне. Објашњења и примери дати  уовом упутству треба да вам послуже да их прилагодите и употребите на свом систему и тако повежате безбедност и растеретите и своју мрежу и Интернет од траћења ресурса на спам.


Поделите овај чланак са пријатељима


2 comments to Микротик: заштита мреже од спамботова

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *