Ağ seviyesinde SPAM Engelleme

Mar 26th, 2009

Spam bildiğiniz gibi hepimizin sorunu. CPU, Bellek, Band Genişliği gibi pekçok kaynağı tüketmekle kalmayıp virüs, solucan vb. zararlı yazılımları da dağıtarak hepimizin canını sıkmaktadır. Bu yöntemler ile daha çok para kazanmaya çalışılmaktadır. Kişisel verilerin çalınmasının yanında, çeşitli casusluk işlerinde de kullanılmaktadır (truva atı olayı). Tabii bir de işin yasal boyutları var. Bunları da düşünmek gerekmektedir.

Peki istenmeyen bu eposta’lar ile nasıl ilgilenmek gerekir. Bunlar için pekçok yöntem düşünülmüş ve uygulanmıştır. Fakat, bu eposta’ları atan kişiler de bu yöntemleri hemen kavrayıp sistem değiştirmişlerdir. Bu yüzden genelde kazanan onlar gibi görülmektedir. Eğer kullanıcı sistemlerini kontrol etmiyorsanız, gerçekten kazananlar onlar olabilir.

İstenmeyen epostaları engellemenin en önemli yolu, bu epostalara aracılık etmemek ile başlar. Yani sizin elinizdeki sistemleri temiz tutmanız İnternet dünyasına bunların yayılmasını engellemeniz demektir. Bunun için eposta sunucularına düşen görevler ve dolayısı ile sistem yöneticilerine düşen görevler çoğunluktadır. Sistem yöneticilerinin işlerini azaltmak ise bizlerin en önemli görevi olmalıdır.

Ağ seviyesinde istenmeyen epostaları engellemek için ilk önce kullanıcılarımızın normal smtp portunu kullanmaması sağlanmalıdır. Bu işlem basit bir ACL ile yapılabileceği gibi güvenlik duvarında da yapılabilir. Kısaca;

IPTABLES için:

          iptables -A FORWARD -i eth0 -p tcp --dport 25 -j DROP

PF için;

         block drop in bce0 inet proto tcp to any port 25

Cisco için;

        conf t
             ip access-list extended spam
                deny ip any any eq 25
                permit ip any any
                exit
            int g0/1
                ip access-group spam in
               end

Burada eth0/bce0 arayüzleri iş tarafa hizmet veren arayüzlerdir. Özellikle bilinçsiz yığın epostalar atan kullanıcıları engellmiş olduk. Burada atlanmaması gereken nokta bu işlem esnasında kullanıcı bilgisayarları çok yavaşlayacağından şikayetler gelecektir. Bu yüzden bu trafiğin loglanması ve ilgili kullanıcıların uyarılması yararlı olacaktır. Yani;

               iptables -A FORWARD -i eth0 -p tcp --dport 25 -j LOG --log-prefix " Eposta gondermeye calisiyor."

               block drop log in bce0 inet proto tcp to any port 25

Cisco için ACL içerisine

              deny ip any any eq 25 log
              deny ip any any eq 25

yapmak gereklidir. Bu şekilde özellikle yoğun olarak eposta göndermeye çalışanları engellemiş ve logları inceleyerek ilgili kullanıcıları uyarmış oluruz.

hdemir.

Tags:
  1. hdemir
    May 13th, 2009 at 13:33
    Reply | Quote | #1

    Bu arada TTNET benzer bir uygulamayı başlatmış. Muhtemelen BTK’nın konu üzerinde sıkı bir şekilde çalışmasından kaynaklanıyor.

    http://www.ttnet.com.tr/web/214-1088-1-1/tr/ttnet/sss_servisler/simdi_eposta_kutunuz_daha_guvenli

    hdemir.

  2. no spam
    Sep 3rd, 2009 at 12:43
    Reply | Quote | #2

    ttnet türkiyeyi spam maillerin istilasından kurtarmak için 25. portu kapatıp 587. portu açtı. bunu neden mi yaptı? çünkü spam maillerin çoğu 25. portan gönderiliyor bizde en çok bu portu kullandığımız için türkiyeyi istila ediyorlar.tşkler ttnet bu işi hallettiğin için.