Блокировка почтовых спамеров (SMTP) средствами RouterOS в локальной сети на Mikrotik

15 ноябрь 2018 24 362 0
Предположим, что существует компания «Рога и Копыта», в которой большое количество сотрудников и рабочих мест, есть удаленные филиалы, полноценный Active Directory не поднят, зато есть свой почтовый сервер. 

Причем почтовый сервер поднят не где-то у хостера, вместе с сайтом, а поднят полноценный локальный, к примеру, на том же Postfix. Предположим, что сервер находится в локальной сети предприятия за Mikrotik. На самом Mikrotik у вас проброшены необходимые порты, а внешний IP прописан как mail.yourdomain.com в панели управления хостингом.
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
Только вот не задача, ваш IP регулярно попадает в черные списки специальных сервисов (CBL), хотя спам вы не рассылаете. Или же IP попадает в другие черные списки.

Что делать и как быть?

Чаще всего проблема связана с открытым портом TCP 25, который используется для SMTP.

Первым делом следует полностью отказаться от использования 25-го порта, для отправки почты следует использовать защищенные TCP 587 (TLS) и 465 (SSL). Действуя с фанатизмом, всех «сканировщиков» 25-го порта на WAN-интерфейсе можно вообще в черный список кидать сходу. Тут есть правда нюанс, дело в том, что при настройке почтового клиента, последний может просканировать стандартные порты, так что с этой опцией следует быть осторожным и четко иметь представление о том, что вы делаете.

Вторым делом следует рассмотреть возможность блокировки транзитного траффика на 25-й порт. Любой качественный / продвинутый Firewall позволит вам это сделать.

Зачем это делать? Как вы помните, внешний IP связан с почтовым доменным именем, а значит, системами анализа весь траффик будет рассматриваться как траффик от mail.yourdomain.com со всеми вытекающими последствиями.

Может возникнуть ситуация, когда из вашей сети недобросовестные пользователи будут отправлять спам. Вам ведь этого не хочется, правда? Чтобы этого не случилось, запрещаем пересылку траффика. Ниже пример реализации на RouterOS в Mikrotik
/ip firewall filter
add action=accept chain=forward comment="SMTP TCP 25" dst-port=25 protocol=tcp src-address-list=allowed-smtp
add action=add-src-to-address-list address-list=denied-smtp address-list-timeout=0s chain=forward dst-port=25 protocol=tcp
add action=drop chain=forward dst-port=25 protocol=tcp src-address-list=denied-smtp

Теперь попробуем разобраться, что делает данный код.

Первое правило разрешает пересылку траффика на 25-й порт для IP, заранее добавленных в Address List «allowed-smtp» (разрешенные).

Вторым правилом все остальные IP, которые пытаются достучаться до 25-го порта, попадают в «denied-smtp» (запрещенные, заблокированные). Тут можно также играть с параметрами src-address-list и address-list-timeout. С помощью первого параметра можно отобрать часть IP и подсетей, для которых требуется выполнять обработку (например, src-address-list=grey-list). Вторым параметром можно изменять время, на которое IP будет помещаться в черный список.

На завершающем этапе мы банально дропаем все пакеты на 25-й порт для IP, попавших в «denied-smtp».

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Ключевые слова:

Mikrotik RouterOS SPAM SMTP Mail TCP 25

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Подключаем SSL-сертификат на Mikrotik RouterOS: защищенная работа с WebFig и

Если вы хоть раз использовали самоподписные сертификаты на Mikrotik (пункт #5), тогда точно сталкивались с тем, что современные браузеры откажутся...

Настройка сохранения системных журналов Mikrotik RouterOS на карту памяти

В одной из предыдущий публикаций, посвященных уязвимости RouterOS и повышению безопасности, я упоминал о логах. Дело в том, что по-умолчанию все логи...

Последствия неправильной настройки Mikrotik и критического бага в RouterOS

В Mikrotik уже неоднократно напоминали о необходимости своевременно обновления. К сожалению, большинство владельцев пропускают данную информацию мимо...

Cloudflare совместно с APNIC запустил публичный DNS 1.1.1.1: прощай Google DNS?

Задумывались ли вы о том, что такое DNS-сервер и зачем он нужен? Говоря простыми словами, DNS это сервис, преобразующий доменные имена в IP-адреса....

Обход блокировки сайтов со стороны провайдера на Mikrotik (RouterOS) при помощи

В рамках данной публикации мне хотелось бы поговорить об одном из методов обхода блокировки сайтов со стороны провайдера на маршрутизаторах Mikrotik...

Почему б/у серверы стали так популярны?

Выбрать комплектацию и архитектуру серверного оборудования, в зависимости от нужд и функционала компании – это совсем не проблема. А вот полностью...

авторизация на сайте

Войти при помощи Facebook Войти при помощи Google+
Забыли пароль?