Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 1667 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall used by Spammers??

u8o41
Good Day All,

Not sure what happened, but supposedly  someone was using my firewall to bounce spam messages of, and my ISP closed my account as an abuser...

I am(was) running ASL 3.217 as a firewall to my client computer. I was setting it up as a hobby. I am not running any servers behind the firewall. I had SMTP relay proxy disabled. 

So how would a spammer go about using my firewall to send out there spam messages? Is there a built in SMTP server in ASL that I didn't configure properly? or are there certain packet rules that would've allowed someone to do this?  

At this point I am just curious as to what went wrong, as I have stopped using my external firewall in case this happens again.

Any ideas would be greatly appreciated.  


This thread was automatically locked due to age.
  • 0
    Can you get a copy of the delivery logs and/or headers from a mail that was (alledgedly) relayed through you?

    Then I can attempt to tell you if it was really you [:)]

    It's *possible* (although unlikely) that a spammer has spoofed the relevant entries to remove attention from themselves.

    Have you verified that there is no tcp/25 connectivity on your public IP?

    Cheers,

    Karl 
  • 0 in reply to kd_03
    My ISP wont give me anything at the moment, but I may be able to access some of that information in the next day or two.

    Is there any of the logs on my machine where this type of activity would show up?

    As of this moment I don't have a public IP address on my Firewall since my account was shut down, and it wont be reconnected for 24 hours. 

    So I'm not muhc help at all, at the moment. If there is anything else I can check now, pleas elet me know, and if not I willhave to wait until I can get exterbal information in the next couple of days.

    Thanks for wanting to help, it is much appreciated.  
  • 0 in reply to u8o41
    Did you have either the SOCKS or HTTP proxies activated ?
    Did you have any DNAT entries ?

     
  • 0 in reply to tom_01
    I had both the HTTP and SOCKS proxy's activated. 

    I had two DNAT entries. I had problems getting acces to my external SMTP and POP servers, so I set up DNAT rules:

    POP_DNAT  internal -> eth0_Interface__ / POP3


    SMTP_DNAT  internal -> eth0_Interface__ / SMTP  
     
     
    I was told I didn't need these if I had masquerading setup but, even with masquerading I could not get them to work properly.    
  • 0 in reply to u8o41
    Bet it was your SOCKS or HTTP proxy.

    Make sure Allowed networks is configured correctly and for SOCKS I would turn on User Authentication so you need a user name and password to access it.
     
  • 0
    [ QUOTE ]
    Good Day All,

    Not sure what happened, but supposedly  someone was using my firewall to bounce spam messages of, and my ISP closed my account as an abuser...

    [/ QUOTE ]

    The target of choice for spammers these days are  open HTTP proxxx servers.

    I know, my old APACHE server was attacked a while ago.  I upgraded and closed that down.

    Since you are rnning the HTTP proxy server, you have to set rules so it is not available from your public side.

     
  • 0 in reply to Bob M
    I had a similar problem a while back. Whilst it was never fully tracked down stopping the SOCKS proxy seemed to make tyhe problem go away (and I don't use the HTTP proxy). Since then I have turned user authentication on for SOCKS and everything seems OK.

    Sean 
  • 0 in reply to NugentS
    Hi alltogether,

    check the related mail logfile. If ASL really received SPAM through the HTTP or SOCKS proxy you would find 
    localhost (127.0.0.1) as sender for the outgoing spam in the logs otherwise you have configured an open SMTP 
    relay by allowing 'Any' .

    read you
    o|iver