Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 5334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

My firewall is spamming! What to do?

Scanweb
I got a mail from MAPS saying that my IP is open for spamming. I don't know where to look.

They've done an open proxy test to my firewall on port 1080. I don't know how they can mail through there but they say they can! Is there any consequence to closing this port on my firewall? I'm totally blank on this one! Can it be a Server or client from the inside. Every mailserver is relaying through this server. But how can I trace it back to the server if this is so?
Please help; it's urgent! Thanks!
/Rasmus


I found out that my socks proxy is set to allow any! Should this be restricted? I've searched my log files for the sender address with no result! Getting frustrated!  [:S] 
Can it be a virus and one of my clients are mailing through our mailserver and therefore it looks like it came from the outside? Maybe...and that is why they checked the firewall because it looked like it were coming from there and then they found the 1080 (socks) open?


This thread was automatically locked due to age.
  • 0 in reply to SecApp
    I have tried both Log Drop and Drop for any-SMTP-any as rule number one. Nothing appears in the live log. I tried to send a mail from a mailserver behind the firewall through webmail. This is working fine!!?? The packets aren't dropped.

    Do you know a tool that checks ip's for this vulnerability with the open proxy? I have 7 SMTP servers that are open to the outside. Then I can check all of them. This means they are in fact going outside the SMTP Proxy which explains how I was able to send with the rule turned on!!??

    What if i try to only allow socks proxy for inbound servers? Would this be the right way to do it? I'm just not sure what is affected. Mail abuse wrote me this:
    Proxy parameters:
    Target host = x.x.x.x (my firewall ip)
    Target port = 1080
    Wed Jan 14 11:40:08 2004
    Wed Jan 14 11:40:08 2004
    x.x.x.x open

    This will solve the problem with mail abuse and get my ip removed from the list. Then I can do a scan on all machines to see if any are infecte with a virus that sends out mails.

    /Rasmus  
  • 0 in reply to Scanweb
    webmail is usually not the same as what would be done by a trojan on your LAN transmitting mail.

    You want Internal SMTP Any Log Drop, first rule; leave that in place.

    As for a tool that tests, Google Search on "Shields Up"

    As for disabling external access to the socks proxy, great! I just couldn't assure you that your apps on the Internet are not relying on it.

    Astaro Feature Suggestion: integrated testing tool that talks to a server at Astaro?
  • 0 in reply to SecApp
    When you say internal SMTP any log drop. You mean that all my internal ip's should log drop the smtp to any any server. Or what do you mean by internal?

    I'll disable external access tomorrow when I've talked with the developers. But this won't solve my problem... I think it's a virus internally. That would be the most obvious - wouldn't it?  
  • 0 in reply to Scanweb
    Internal is the network that is on the inside of the firewall; if you have more than one, make a network group and reference it in your rule.

    If the socks proxy was opening a hole, a person connects to an internal SMTP server and directs it to transmit back out the SMTP port, no virus necessary!  Hence my concern to Log Drop that SMTP port for outbound.
      
  • 0 in reply to Scanweb
    The tool only works from/to the computer I'm sitting at. I can't point out an ip on the internet to check. I can't run the browser and therefore the check in Astaro?  
  • 0 in reply to Scanweb
    I'll definately close it then. Then the customers will have to complain and we'll look at it by then.  
  • 0 in reply to Scanweb
    It will work; when you talk to the server on the Internet, it is figuring out where you are coming from (you will be 'seen' as an IP on the firewall's external interface); then it comes back at that external firewall address to figure out what ports are open.

    There are other tools on the net where you can feed a range of ips and it will tell you what's open; this you do from home. I suggest you be discriminating about who's tool you use. I would pass on ones published by an individual or company lacking a track record for integrity; otherwise THAT introduces yet another trojan! And don't blindly trust that your antivirus will ferret it out...
  • 0 in reply to SecApp
    It won't solve the spamming issue. It will remove me from the mailabuse list; yes. But then again; I want to stop relaying for anyone.

    Do you know openrelaycheck.com? It looks ok; but...hehe. I think I'll try it. It's only my machine that's on stake.  
  • 0 in reply to Scanweb
    If the machine is on the LAN, your LAN is at stake.

    I had a quick look; I don't see any resumes, nor links to articles talking them up. Maybe there's more info about them on the web as to who they are?

    Now you're getting into the guts of security work: researching.

    sans.org is a reputable security info clearinghouse; nist.gov is another (if you're not paranoid about the US, which most Europeans are right now...).

    I also track the hacker sites to know what the current capabilities are...
      
  • 0 in reply to SecApp
    The companys you mention, is their tools available for download? I think it's quite interesting, and if I solve this problem soon I'll take a closer look at the security issues. Any nice links for me?

    I'm not paranoid of american companies....YET ;o)