Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 748 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Leaks in ASL?

Jacque_Usi
I am currently running ASL to protect my home network and email server. Recently, my server was highjacked by an individual(s) whose IPs are from Russia. They were using my server to send well over 10,000 emails through my SMTP gateway.

We'll after being alterted over 10,000 times, I created 4 network objects for the four IP addresses that were sending the SPAM. I then created a network object called {Banned_Networks} and setup a filter of {Banned_Networks} -> Any Service -> Any Network -> DROP. I then made that the first rule of my list.

Oddly enough, SPAM was still getting through.

I then applied the same rule but substituted {Banned_Networks} with the individual IP. Had to do that 4 times. The SPAMMING got better, but to my suprise, I was still getting messages as of this morning informing me that at least 5-6 messages got through.

Am I doing something wrong here?

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    I would recommend configuring your SMTP server properly before adding packet filtering rule to prevent spamming.

    A SMTP server should not accept outgoing mail from unauthorized ip address.

    Get to the root cause ...

    TnM
  • 0 in reply to TnM
    yeah never leave your SMTP server open from unauthorized IPs.  I have had an FTP server get hacked behind an Astaro firewall but its not the firewall that got hacked it was the crappy MS FTP server.  

    Resistance
  • 0 in reply to Resistance
    hi,

    if the smtp gateway you mention is ASL, it is possible that you receive the spam-alerting-emails from ASL and the spam-mails are being dropped by astaro silently.
    if this is the case, no spam mail would have been sent out - and you just have the problem of the lots of alerting emails ... (this is a nice fw-admin DOS).
    maybe there should be any kind of filtering, e.g. if spam attacks occure, sending one mail every five minutes saying "there were 42 spam attacks ..." or something like this would be enough.

    bye,
    michael
Unfiltered HTML