Che cosa causerebbe una scansione delle porte a un server di posta elettronica in un ufficio?

0

Fornisco account email ai clienti. Occasionalmente alcuni clienti sono bloccati dal nostro firewall (CSF) se ottengono i nomi utente o la password errati. Ma a volte vengono bloccati perché il loro indirizzo IP determina la porta che esegue la scansione del server di posta. Il messaggio di log sarebbe:

Temporary Blocks: IP:123.123.123.123 Port: Dir:in TTL:3600 (lfd - *Port Scan* detected from 123.123.123.123 (GB/United Kingdom/-). 21 hits in the last 261 seconds)

Poiché non sono hacker, solo un normale ufficio commerciale, una possibilità è che un computer abbia un virus e stia tentando di connettersi al server di posta, forse ha ottenuto le impostazioni del server di posta da Apple Mail. Ma dubito che sia così.

Quindi qualcuno sa che altro software potrebbe eseguire scansioni di porte sul server di posta Apple Mail? Apple Mail stessa? Avremmo bisogno di fermare queste "scansioni".

Modifica : ho appena scoperto tutti i suoi Mac e Apple Mail in ufficio, non Outlook. E hanno una casella temporanea EE (fornitore di telefonia mobile) per connettersi a Internet perché BT sta impiegando anni per ordinare Internet. Ho una domanda aggiornata sopra.

Modifica : il cliente si collegava molto spesso alla porta 585 e veniva bloccato. Questa porta non è aperta nel nostro firewall. Ma sembra che la porta 585 sia effettivamente una porta IMAP, e vari siti Web dichiarano che Apple Mail lo usa. Quindi ho dovuto aprire questa porta a causa di Apple Mail che lo utilizza.

Modifica : vedi risposta accettata, ma invece di aprire la porta, l'ho aggiunta a DROP_NOLOG nelle impostazioni CSF. La risposta accettata mostra come farlo usando il comando iptables se non si utilizza CSF.

    
posta Laurence Cope 07.07.2017 - 13:35
fonte

1 risposta

4

Il messaggio di log CSF che hai fornito afferma di aver trovato "21 hit negli ultimi 261 secondi". Quindi la domanda è, cosa stava colpendo? Il file di configurazione CSF descrive il loro rilevatore di scansione delle porte come segue:

###############################################################################
# SECTION:Port Scan Tracking
###############################################################################
# Port Scan Tracking. This feature tracks port blocks logged by iptables to
# syslog. If an IP address generates a port block that is logged more than
# PS_LIMIT within PS_INTERVAL seconds, the IP address will be blocked.
...
# This feature blocks all iptables blocks from the iptables logs, including
# repeated attempts to one port or SYN flood blocks, etc

Quindi, la configurazione di iptables sta bloccando le singole connessioni dai clienti e CSF guarda i registri di iptables e reagisce quando vede troppe singole voci di registro dei blocchi. Poiché utilizza i registri di iptables come punto di dati non elaborati, gli stessi dati non elaborati devono essere lì per essere esaminati.

Quindi ciò che devi fare è rivedere i tuoi registri iptables per il periodo di tempo in questione e vedere quale porta stavano raggiungendo per quello che era bloccato. Ad esempio, se fosse 465 / tcp o 587 / tcp, questo potrebbe indicare che il loro client di posta sta tentando di stabilire porte alternative sicure prima di passare a 25 / tcp per SMTP. Ciò implica una sorta di falso positivo legittimo, e potresti compensare configurando iptables per bloccare senza registrare su queste due porte.

Se, d'altra parte, stanno provando una vasta gamma di porte che non sono correlate alla posta, (21 / tcp, 22 / tcp, 23 / tcp, 139 / tcp, 161 / udp, 445 / tcp , ...) poi qualcuno o qualcosa vi sta veramente facendo il portscanning.

In base al commento riportato di seguito, i tuoi registri indicano che le connessioni sulla porta 585 stanno attivando i blocchi. La porta 585 / tcp è associata ai client di posta elettronica Apple. Potresti chiedere all'utente di aggiustare il loro client di posta elettronica, ma poiché si tratta di un client Apple, tutte le menzioni online di questo dicono che è difficile capire come farlo. Quindi puoi modificare le regole del firewall per non registrare questo traffico. Se guardi la tua catena INPUT IPtables, vedrai che le ultime due linee sono probabilmente LOG e DROP:

# iptables -L INPUT -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
...
20   LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
21   DROP       all  --  0.0.0.0/0            0.0.0.0/0

Puoi quindi INSERIRE una nuova e specifica regola DROP nella posizione della regola LOG corrente:

# iptables -I INPUT 20 -p tcp --dport 585 -j DROP
# iptables -L -n --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
...
20   DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:585
21   LOG        all  --  0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4
22   DROP       all  --  0.0.0.0/0            0.0.0.0/0

e ora le connessioni della porta 585 DROP prima verrebbero LOGATE e il tuo strumento CSF non reagirà più a questi tentativi di connessione (ma saranno comunque bloccati!).

    
risposta data 07.07.2017 - 14:55
fonte

Leggi altre domande sui tag