ISPはスパムのためにポート25をブロックしました

主な質問：

Ubuntu（またはその他のディストリビューション）のボット/スパムソフトウェアに感染することさえ可能ですか？

詳細：

ISPがSMTPへの発信接続（自宅からリモートサーバーへの発信接続）でポート25（および465）をブロックしたため、今は自宅からビジネス用メールを使用できません。彼らが私をブロックする理由は、「あなたがスパムを送信しているため」ではなく、私が送信していない場合、私のOSはおそらく感染しているということです...

ツールとガイドの包括的なリストを使用して、システム（Ubuntu 13.10 14.04 64bit）に侵入/マルウェア/ルートキットがないか確認できます。

PS

• 私はまた、自宅のコンピューターでゲームをしたいという理由だけでWindows 8.1（64ビット）をインストールしていますが、それはWindowsでしかできないことです...時間があれば...

• ワイヤレスはオフになっており、オンになっていてもパスは保護されています。

• 
  ウィンドウやゲームがインストールされているため、ウィンドウをスキャンしても何も表示されず、表示されることもありませんでした。

• SMTPの他のポートに接続できますが、サーバーは25を使用しており、変更できません

• また、windozeからポート25への接続もテストしました（サンダーバードを使用）

• 私は、ubuntuの電子メールクライアントにthunderbirdを使用し、他のいくつかをテストして、それがthunderbirdの誤設定ではないことを確認しました。

• Telnetは接続タイムアウトも出力します...

編集： 私のISPはまだ私をブロック解除することを拒否します...たぶん私はサーバー上で587を開かなければなりません。

編集2：

今日、ISPのサポートから別の技術に接続し、それらからのブロックがないことを教えてくれたと思います...私は激怒しました!!! 私は以前の技術が何をしていたのかわかりません...多分彼は新しくて、スクリプトから読んでいたのでしょう。

そのため、電話からのテザリングを介して別のISPをテストし、ポート25を介してメールを送信することに成功しました。本質的には何も変更せず、ISPのみを変更しました。彼らは私をからかっていますか？たぶん、技術サポートは、彼らが私のアカウントのために彼らのスクリーンで見ているものを解釈する方法を知らないか、それは何か他のものでありえますか？

私がとった別のステップは、ルーターをデフォルト設定に完全にリセットし、別の動的IPを取得することでした。ポート25への接続はまだありません。

ISPに問題があることを確認するために、使用済みのルーターを友人や他のルーターからテストして別のルーターでテストすることを計画しています。

編集3：この質問に最後に更新してからしばらく経ちました。私は同じインターネットプロバイダーのある古い家（国の別の場所にある）に戻りました。同じ会社!! 私の設定は期待通りに機能します。ポート25を使用してメールを送信できます。問題は、ISPが新しい顧客に提供する厄介なZTEルーターにあったと思います。

それも可能ですか？

なぜそうではないのですか？Ubuntuは、他のほとんどのオペレーティングシステムと多くの問題を共有する非常に柔軟なシステムです。

• Ubuntuのソフトウェアが悪用される可能性がある
• スパムデーモンを実行するのにrootは必要ありません。
• 弱い認証を解読できる
• Ubuntuユーザーは、ほぼすべてのものをインストール/実行することを確信できます。
• 侵入すると、ハッカーはより多くのソフトウェアをアップロード/リモートダウンロードして、スパムを送信できます

ここでセキュリティについて現実的に考えてみましょう。クロスプラットフォームのFlashエクスプロイトは、ログイン時に自身を実行するスパムデーモンの読み込みとインストールを簡単に行うことができます。ルートは必要ありません。

ISPのストーリーを再確認する

「しかし、私のISPは私に嘘をつかないでしょう！」誰も言いませんでした。多くのホームISPはポート25を習慣的にブロックしていますが、他のISPはSMTPサーバーの使用を強制しています（許可される唯一の発信p25接続です）。

モデレーターになると、IPが表示され、自宅のISPを確認しました。名前と「ポート25」または「smtp」をグーグルで検索すると、同様の状況にいる他の多くの人が表示されます。そして、彼らは中央のSMTPサーバーを持っています。

これは新しい問題であるとおっしゃっていますが、ご使用のISPではないことを再確認してください（またはISP上で適切な設定が必要です）。最後の回避策はまだあなたのために働くはずです。

問題を見つける

可能ですが、それが最も可能性の高いターゲットであるかどうかはまだわかりません。あなたが私のような人なら、インターネットに接続されたデバイスに囲まれているので、それらすべてを見る必要があります。

ISPに何らかの証拠を尋ねることから始めます。タイムスタンプは最低限必要ですが、自動フラグが間違っていないことを確認するために何を使用しているかを見るのは素晴らしいことです。

• ISPの虐待部門に誰かが仕事用のメールにフラグを立てている可能性があります。
• そのときに使用しているOSを知る必要があります。UbuntuとWindowsの両方が認証ログを保持しているため、送信できる証拠と比較してください。

• 次のような出力ポート25のアクティビティを記録します。

  iptables -I OUTPUT -p tcp --dport 25 -j LOG --log-prefix "mail connection"
  

  あなたがすでにブロックされている場合、それがうまくいくかどうかは正直わかりませんが、一見の価値があります。さまざまなWindowsファイアウォールにより、さまざまなログの代替手段が提供されます。

• ご使用のコンピューターだけでなく、接続しているデバイスがメールを送信している可能性があることに注意してください。電話、wifi対応トースター、いたずらな隣人など。このメールを送信しているものを見つけるには、ネットワークレベルのパケットの傍受とログ記録が必要になる場合があります。これはすべて可能ですが、後部の痛みです。

• 可能性の高い手段を使い果たしたら、Linuxウイルス対策ソフトウェアを選択してください。私はそれらのいずれかまたはそれらの検出率について個人的に話すことはできません。

すぐにブロックを回避する

続行する必要がある場合、電子メールの送信を続行する最も簡単な方法は、何らかの難読化または暗号化された接続を使用することです。SSHサーバーにアクセスできる場合（職場など）、多くの場合、これが最善の方法です。

ssh -D9100 user@host

次に、SOCKSプロキシアドレスlocalhost、ポートを使用するようにメールクライアントを変更します9100。ISPはこれに干渉することはできません。スパムを送信しているものがSOCKSの構成を推測できるとしたら、非常に驚​​きます。

この場合、最も可能性が高いのは...？

ISPのSMTPサーバーを介してメールを送信できるかどうかを確認します。私はチェックしました、あなたのものがあります。非常に一般的であるため、すべてのユーザーに強制的に使用させることもできます。技術サポート担当者は混乱しているだけかもしれません。

別のユーザー（別のアカウント、別の電話回線）に、会社のSMTPへの接続を試行するよう依頼します。これはを使用して迅速に実行できますtelnet example.com 25。

• 接続できない場合は、アカウントだけでなくISP全体であると想定します。したがって、セキュリティの問題ではない可能性があります。

• 彼らが接続できる場合、あなたは正方形の1に戻っています。ネットワークからメールを送信して、ISPがあなたをブロックする原因となっているものがあります。ウイルススイープ、トラフィックモニタリング、パラノイアがここの親友です。

Ubuntuに感染し、ボットネットの一部になることは確かに可能です。しかし、それは本当にありそうもないことです。

ISPに記録を求めることができるはずです。問題を見つけるのに役立ちます。ここから診断するのは難しいですが、ワイヤレスが犯人になる可能性が高くなります。セキュリティのためにWPA2を使用しており、WPSが無効になっていることを確認してください。

問題を解決し、しばらくの間スパムの送信を停止したら、おそらくISPに連絡してポートのブロックを解除することができます。

発信ポート25をブロックすることは一般的な方法です。スパムの懸念があるため、電子メールの元の送信は推奨されていません。メールサーバー間でまだ使用されています。

（元の）電子メールを送信するための適切な（通常はブロックされない）ポートは、ポート587、いわゆる送信ポートです。通常、メールプロバイダーはこれをサポートし、システムオペレーターは通常ブロックしません。

多くのISPは、すべてのコンシューマアカウントに対してポート25と80をブロックします。メールサービスを含むウェブホスティングサービスを使用しています。彼らは私に送信メール用の非標準ポート上のSMTPサーバーを提供します。どこでも動作します。似たようなものにアクセスできるかもしれません。すでに持っているサービスについて考え、調査します。

他の回答の多くは、wifiの使用やマシンへの感染に焦点を当てています。これらは可能ですが、最も単純な説明を見落としています（Occamの剃刀...）。

ほとんどの場合、オープンリレーとして機能します。つまり、世界中のだれでもマシンに接続し、どこかにメールを送信するようにきちんと要求することができます。これは、ISPが行う簡単なテストであるため、ISPがあなたをブロックする理由です。彼らは顧客のIPブロックをスキャンし、ポート25でテストメッセージをリレーするように要求します。そうすると、あなたはスパマーになります。リレーを実際に使用している人はいないかもしれませんが、その存在だけでブロックすることができます。

自分がオープンリレーかどうかをテストするには、メールサーバーにtelnetで接続します。太線は入力したものです。

% telnet your.mail.server 25
Trying 1.2.3.4...
Connected to your.mail.server.
Escape character is '^]'.
220 your.mail.server ESMTP Postfix (Debian/GNU)
helo geocities.com
250 your.mail.server
mail from: the90s@geocities.com
250 2.1.0 Ok
rcpt to: someone@gmail.com
554 5.7.1 <someone@gmail.com>: Relay access denied

入力する行はhelo、mail from:およびrcpt to:行です。必ずローカルではないアドレスを使用してください。両方ともリモートホストである必要があります。エラーが表示されない場合554 relay denied、スパムゲートウェイの設定が正しくないため、正当にブロックされています。

これを解決する最も簡単な方法は、MTA経由でメールを送信するために認証を要求することです。これを設定する詳細は、実行しているMTAによって異なりますが、詳細は質問にはありません。

Linuxのボックスやネットワークで何か悪いことがないようにするためです。

自分でネットワークを確認してください

自宅のLinuxマシンでこれを実行することから始めます。

netstat -ta

これにより、確立済みまたはリッスン中のすべてのtcp接続が一覧表示されます（背後にサーバーがあります）。予期しないことがある場合は、さらに調査する必要があります。

インターネット接続が開いているすべてのプロセスを一覧表示する別の非常に便利なコマンドは次のとおりです。

sudo lsof -i

（lsofパッケージをインストールする必要があります。）

上記のテストがされることに注意してくださいではない携帯電話、タブレット、インターネット対応のガジェットなどオリが述べたように、あなたの接続にpigybacking隣人：あなたのインターネット接続を共有する他のデバイスをカバーしています。内部IPのリストがある場合は、Linuxボックスからそれぞれの外部IPを1つずつ実行できます。

sudo nmap <internal-ip-address>

（nmapパッケージが必要です）。気づかないかもしれないさまざまなデバイスで開いているポートとサービスが明らかになる可能性があります。