[mightythor]

mul on kahtlus, et mõni minu LAN'is olevatest arvutitest on nakatunud pahavaraga, mis on sellesse arvutisse paigaldanud email'i serveri. Et välistada minu LAN'ist rämpskirjade välja saatmise, tuleks mul blokeerida gateway/ruuter/fw masinas pordid 109,110,995,143,220 ja 993? Või tuleks blokeerida hoopis port 25? Ehk teisisõnu küsides, kas sedasorti mailiserverid saadavad harilikult rämpsporti üle SMTP kuskile veel edasi või juba lõppadressaadi serveritesse?

[Betamax]

Kas sa ei leia, et pigem on kergem võrguliiklust monitoorida ja võimalik nakatunud arvuti üles leida liikluse blokeerimise asemel? Kui mõni arvuti saadab spämmi välja, siis see tekitab juba päris korraliku liikluse ja monitoorides on seda kerge tuvastada.

[mightythor]

[Andrus Luht]

Väljuv emaililiiklus elab pordis 25/TCP (SMTP)
Samas see blokeerimine on pigem ajutine möödapääs kui lahendus.
Nagu Betamax juba märkis siis enamus auru peaks olema suunatud pahalase tuvastamisele ja eemaldamisele...

[kussu]

Mul firma lanis 25 kogusaeg kinni (kirju saadab välja oma SMPT), kuna avalik WIFi püsti siis muud lihtsalt üle ei jää, statistiliselt kui 25 lahti siis iga nädal korra IP blacklistis Samas oli pandud linux ka 25 porti logima, kuid sellest vähe abi, hommikuks oli see nakatunud masin juba võrgust kadunud ja tuli hakata blacklistidele palvekirju esitama.

[Betamax]

kussu, mingil määral aitab tuleviku mõttes ka selle nakatunud masina MAC-aadressi blokeerimine. Järgmisel korral ei saa see konkreetne masin enam võrku kasutada.

[sukelduja]

Keera 25 kinni. Logist saad kohe nakatunud arvuti kätte ka. Tänapäeval on suhteliselt mõeldamatu, et kõik arvutid saavad port 25 kaudu välja. Kui mõni arvuti üritab otse mõne välise serveri 25 poole pöörduda, siis on kohe mõtet uurida, mis selles arvutis tegelikult toimub.

[kussu]

[Dogbert]