Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 5333 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

My firewall is spamming! What to do?

Scanweb
I got a mail from MAPS saying that my IP is open for spamming. I don't know where to look.

They've done an open proxy test to my firewall on port 1080. I don't know how they can mail through there but they say they can! Is there any consequence to closing this port on my firewall? I'm totally blank on this one! Can it be a Server or client from the inside. Every mailserver is relaying through this server. But how can I trace it back to the server if this is so?
Please help; it's urgent! Thanks!
/Rasmus


I found out that my socks proxy is set to allow any! Should this be restricted? I've searched my log files for the sender address with no result! Getting frustrated!  [:S] 
Can it be a virus and one of my clients are mailing through our mailserver and therefore it looks like it came from the outside? Maybe...and that is why they checked the firewall because it looked like it were coming from there and then they found the 1080 (socks) open?


This thread was automatically locked due to age.
  • 0
    Sounds like you're so rattled you're not thinking it through clearly.

    Start by shutting everything down; temporarily disable your rules, shut off the socks proxy (at least set it for access to the internal network; but what if somebody is doing it from a Trojan on the inside? I say disallow all and we reenable things gradually). Add a rule that does a Log Drop for SMTP (Internal to Any). See what might be doing it by then going through the logs.

    What are your rules??

    We had this problem a month ago with somebody else and it turned out to be Spam virus on an internal machine.

    How is your SMTP proxy configured?
      
  • 0 in reply to SecApp
    You're absolutely right. I should be sleeping by now...until I saw this mail from mail abuse.org.

    My problem is: I can't just shut anything down. We have a lot of systems running that have to be online.

    I've got a lot of rules. Which ones are you interested in? I'm not very good at this. Just started in this job and don't know much about the firewall yet.

    Proxy Setup:
    I have some routes for the domains I'm hosting.
    I have allowed networks: my private range
    TLS transaction encryption: ON
    8 Trusted domains
    Anti-Spam: On
    Sender Address verification: OFF (should it be on maybe?)

    Sorry if I don't give you the right information. I'm starting to panic...  [:$]

    /Rasmus  
  • 0 in reply to Scanweb
    • (temporarily) Disable all networks for the socks proxy
    • Add a rule at the top of your rules: Internal SMTP Any Log Drop (I don't think that affects the SMTP proxy, since it is 'outside' the firewall on both interfaces; we'll know soon enough!)
    • Look in the Logs for SMTP Drop activity
    [/list]
      
  • 0 in reply to SecApp
    I have to know what functionality is prohibited when I do this. If I can't get through to my firewall afterwards or the webservers behind it can't be seen from the internet I'm in big trouble. If it's only mail it's ok! Not that I don't trust you but are you a 100% sure of what you are doing. Hate to sound this way; I realy appreciates your help.  [:)]  
  • 0 in reply to Scanweb
    My last instructions might affect SMTP proxy traffic (I doubt it), and it will disable SOCKS proxy temporarily; I doubt you are using socks for anything mission critical, right??
      
  • 0 in reply to SecApp
    I'm really sorry I'm such a dumb ass.

    We run a lot of web applications with interfaces to different systems on different ports. I know socks is used for ftp which we also have got. Customers applications are downloading from these servers for their accounting systems. Will it affect this traffic? It's no problem to turn off the SMTP Proxy for a while og set up rules for this.
    I've looked in the SMTP Proxy Log to see if I could find the address the mail should have been sent from but with no luck. I hope you aren't getting tired of me here.  
  • 0 in reply to Scanweb
    I don't know what your in-house apps do. The socks proxy requires a socks client; do your web apps use a socks client? You will have to ask somebody there.

    Why not go ahead and add the SMTP rule for now and see if we get Drops in the log?
    Remember: at the top...
  • 0 in reply to SecApp
    I'll try that.

    I don't hope you know what our web apps are using. If you do you're great at this! ;o)

    I know for example that every webserver inhouse has ASPSock installed. But if it is used to sites on the other side of the firewall I don't know. I doubt it.

    We'll see what happens with the SMTP drop.  
  • 0 in reply to Scanweb
    What if I say Log Allow to the rule? Can't we use that one? It's late here; I don't think anyone is there.  
  • 0 in reply to Scanweb
    You can, but just go for the Log Drop; all your outbound SMTP should be going through the SMTP proxy.

    It is conceivable that whoever set up that topology there allowed inbound socks, but that is not what you want from a security standpoint, unless you are using user authentication (that can be checked on the socks proxy's settings...)