Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5345 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to block IP while using SMTP proxy

eager
Hi,

I need to block a whole network due to the fact that this network is sending massive bogous emails.

Here a sample:

2005-11-21 18:06:23  Received from <> H=(smtp.domain.com) [192.168.*.*] P=esmtp S=5353 id=xqS1wicRW1030158f@smtp.domain.com  
2005-11-21 18:06:25  mx2.hanmail.net [211.43.197.144]: Connection refused  
2005-11-21 18:06:28  SMTP error from remote mailer after RCPT TO:: host mx2.hanmail.net [211.43.197.172]: 550 5.1.1 ... Inactive mbox  
2005-11-21 18:06:28  foruk@hanmail.net R=dnslookup T=remote_smtp: SMTP error from remote mailer after RCPT TO:: host mx2.hanmail.net [211.43.197.172]: 550 5.1.1 ... Inactive mbox  
*** Frozen (delivery error message) 

or

2005-11-21 17:11:19  Received from <> H=(smtp.domain.com) [192.168.*.*] P=esmtp S=5377 id=xW4k7WWWv0200523e@smtp.domain.com  
2005-11-21 17:11:22  SMTP error from remote mailer after RCPT TO:: host mx9.hanmail.net [211.43.197.15]: 551 5.7.1 Relaying denied  
2005-11-21 17:11:22  flatron2004@hanmail.net R=dnslookup T=remote_smtp: SMTP error from remote mailer after RCPT TO:: host mx9.hanmail.net [211.43.197.15]: 551 5.7.1 Relaying denied  
*** Frozen (delivery error message)  

and so on


Unfortunately the packet filter is "behind" the smtp proxy - this really makes no sense to me. Even for a novice users, the packet filter should be the first layer the packets have to pass.

I searched for a solution and found a thread where the user DNATed the packets to a 'nowhere host' (non existing IP address). I found out that this does not work either.

Blacklist etc. does not help either.

What is the solution here - I need to block this spammer.

Thanks
Ed

running: V5.206


This thread was automatically locked due to age.
  • 0
    Why not report it to your ISP and get them to block it on their border. If it is one of their customers they can deal with it.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    This will be my last option I guess.

    I have also reported to the responsible persons of the network  in Korea - but seems that they do not care.

    Still the packet filter should be the first layer the packets need to pass through before reaching the Proxy. Nice feature request BTW.

    Any technical solution on how to pimp the gateway so the PROXY is behind the packet filter?
  • 0 in reply to eager
    There is another mob that run lists of bad sites, one of them provides info to Astaro as part of the extras licence package.

    Ian M [:)]
  • 0 in reply to eager
    If you have a router between you and your ISP, you could block the IP there (rather than ask your ISP to block it at their router), before it gets to ASL.
  • 0 in reply to eager
    [ QUOTE ]
    Any technical solution on how to pimp the gateway so the PROXY is behind the packet filter?

    [/ QUOTE ]

    Maybe you could NAT the SMTP traffic, but it's probably not a very good idea.

    Also, IIRC you can block hosts in the procmail server config files.

    Barry
  • 0
    I cant see the problem.

    I had the same problem with hanmail. So I made a rule

    "ip-Adress any any drop"          up to the first rules

    and the result is: no hanmail spam in the proxy content manager [:)]

    regards
    Bernhard
  • 0 in reply to bxxp
    which version are you running?
    you are using the SMTP Proxy, right?
    I did the same. I defined the whole network of hanmail and droped all packets - but no luck.
  • 0 in reply to eager
    Yes, I use the SMTP Proxy

    Astaro Release 5.208

    8  [none]  boese (Group)  Any  0.0.0.0/0  Any drop

    I use the IP_adresses shown in the bounce Mail (210.114.213.126 and 210.114.213.146). It is not one of the hanmail Server.

    regards
    Bernhard
  • 0
    Apologies for the necroposting, but I'm having the same issue (with the same hanmail spammer actually). Though this is an attempt to use our firewall as a relay. The volume is enough to bring our net access to a halt just rejecting the relay attempts. 

    Is there any way to block packets before they hit the SMTP proxy?

    I've defined the offending network and added a rule to drop packets at the top of the packetfilter rules, but it seems like the smtp filter kicks in before the packet filter. (That or I'm not doing the packet filtering correctly.)

    2006:02:27-08:53:02 (none) exim[10625]: 2006-02-27 08:53:02 no host name found for IP address 61.83.179.150
    2006:02:27-08:53:04 (none) exim[10625]: 2006-02-27 08:53:04 H=(winxp) [61.83.179.150] F= rejected RCPT hotdama@hanmail.net: Relay not permitted
    2006:02:27-08:53:04 (none) exim[10625]: 2006-02-27 08:53:04 unexpected disconnection while reading SMTP command from (winxp) [61.83.179.150]
  • 0 in reply to eager
    Maybe policy based routing would solve this problem ?
Cookie Information Banner