Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 5334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

My firewall is spamming! What to do?

Scanweb
I got a mail from MAPS saying that my IP is open for spamming. I don't know where to look.

They've done an open proxy test to my firewall on port 1080. I don't know how they can mail through there but they say they can! Is there any consequence to closing this port on my firewall? I'm totally blank on this one! Can it be a Server or client from the inside. Every mailserver is relaying through this server. But how can I trace it back to the server if this is so?
Please help; it's urgent! Thanks!
/Rasmus


I found out that my socks proxy is set to allow any! Should this be restricted? I've searched my log files for the sender address with no result! Getting frustrated!  [:S] 
Can it be a virus and one of my clients are mailing through our mailserver and therefore it looks like it came from the outside? Maybe...and that is why they checked the firewall because it looked like it were coming from there and then they found the 1080 (socks) open?


This thread was automatically locked due to age.
Parents
  • 0
    Sounds like you're so rattled you're not thinking it through clearly.

    Start by shutting everything down; temporarily disable your rules, shut off the socks proxy (at least set it for access to the internal network; but what if somebody is doing it from a Trojan on the inside? I say disallow all and we reenable things gradually). Add a rule that does a Log Drop for SMTP (Internal to Any). See what might be doing it by then going through the logs.

    What are your rules??

    We had this problem a month ago with somebody else and it turned out to be Spam virus on an internal machine.

    How is your SMTP proxy configured?
      
  • 0 in reply to SecApp
    You're absolutely right. I should be sleeping by now...until I saw this mail from mail abuse.org.

    My problem is: I can't just shut anything down. We have a lot of systems running that have to be online.

    I've got a lot of rules. Which ones are you interested in? I'm not very good at this. Just started in this job and don't know much about the firewall yet.

    Proxy Setup:
    I have some routes for the domains I'm hosting.
    I have allowed networks: my private range
    TLS transaction encryption: ON
    8 Trusted domains
    Anti-Spam: On
    Sender Address verification: OFF (should it be on maybe?)

    Sorry if I don't give you the right information. I'm starting to panic...  [:$]

    /Rasmus  
  • 0 in reply to Scanweb
    Internal is the network that is on the inside of the firewall; if you have more than one, make a network group and reference it in your rule.

    If the socks proxy was opening a hole, a person connects to an internal SMTP server and directs it to transmit back out the SMTP port, no virus necessary!  Hence my concern to Log Drop that SMTP port for outbound.
      
  • 0 in reply to Scanweb
    The tool only works from/to the computer I'm sitting at. I can't point out an ip on the internet to check. I can't run the browser and therefore the check in Astaro?  
  • 0 in reply to Scanweb
    I'll definately close it then. Then the customers will have to complain and we'll look at it by then.  
  • 0 in reply to Scanweb
    It will work; when you talk to the server on the Internet, it is figuring out where you are coming from (you will be 'seen' as an IP on the firewall's external interface); then it comes back at that external firewall address to figure out what ports are open.

    There are other tools on the net where you can feed a range of ips and it will tell you what's open; this you do from home. I suggest you be discriminating about who's tool you use. I would pass on ones published by an individual or company lacking a track record for integrity; otherwise THAT introduces yet another trojan! And don't blindly trust that your antivirus will ferret it out...
  • 0 in reply to SecApp
    It won't solve the spamming issue. It will remove me from the mailabuse list; yes. But then again; I want to stop relaying for anyone.

    Do you know openrelaycheck.com? It looks ok; but...hehe. I think I'll try it. It's only my machine that's on stake.  
  • 0 in reply to Scanweb
    If the machine is on the LAN, your LAN is at stake.

    I had a quick look; I don't see any resumes, nor links to articles talking them up. Maybe there's more info about them on the web as to who they are?

    Now you're getting into the guts of security work: researching.

    sans.org is a reputable security info clearinghouse; nist.gov is another (if you're not paranoid about the US, which most Europeans are right now...).

    I also track the hacker sites to know what the current capabilities are...
      
  • 0 in reply to SecApp
    The companys you mention, is their tools available for download? I think it's quite interesting, and if I solve this problem soon I'll take a closer look at the security issues. Any nice links for me?

    I'm not paranoid of american companies....YET ;o)  
  • 0 in reply to Scanweb
    sans.org is not a company; it is (or tries to be) a vendor-neutral security information clearinghouse;

    http://www.sans.org

    NIST runs a "Computer Security Resource Center";

    http://csrc.nist.gov/publications/

    And there's also Cert:

    http://www.cert.org/

    There's plenty more, but that's a good point of departure...
      
  • 0 in reply to SecApp
    Hi

    Back at work and found 4 PC's until now who had Klez and Lovesan. Closed the socks proxy for all outside ip's and all the web apps are stille functioning correctly. Trying to get my ip removed from the mailabuse listing. It seems that I'm also listed at DSBL and are already experiencing problems when sending mails. I hope this is it and we soon can be removed from the list. I want to thank you very much for your help. If you get any ideas to where I could look feel free to write me. Thanks. [:)]  
Reply
  • 0 in reply to SecApp
    Hi

    Back at work and found 4 PC's until now who had Klez and Lovesan. Closed the socks proxy for all outside ip's and all the web apps are stille functioning correctly. Trying to get my ip removed from the mailabuse listing. It seems that I'm also listed at DSBL and are already experiencing problems when sending mails. I hope this is it and we soon can be removed from the list. I want to thank you very much for your help. If you get any ideas to where I could look feel free to write me. Thanks. [:)]  
Children
No Data