Mail Station и список блокированных IP

[kmx236 0]

Тем у кого на DSM крутится Mail Station наверняка известна проблема с попытками подбора пароля к учетным данным с целью дальнейшей рассылки спама. Те кто заранее позаботились установив надежный пароль и включили блокировку по IP, в случаи неудачных аутентификации, могут жить более или менее спокойно. Но что бы обезопасить себя и поднять уровень защиты, предлагаю следующие: давайте в этой теме консолидировать наши черные списки просто добавляя их в сообщениях, а я, по мере возможностей, буду обновлять список путем редактирования этого сообщения.

 

Начну я. Список у меня пока небольшой, но лиха беда начало.

 

[ОБНОВЛЕНО 2013.10.22]

 

Черный список IP
----------------
75.101.244.102
146.0.73.121
178.216.49.183
178.248.39.38
218.213.104.29

[Sirocco 0]

91.232.208.38
120.194.12.26
218.108.85.245
162.211.127.163
216.205.110.128
175.236.216.38
195.80.224.73
125.22.76.77
82.193.122.39
189.2.233.21
189.2.233.21

Они же с датой и причиной блокировки:

http://i.pixs.ru/storage/4/2/6/IPBlackPNG_1790471_9482426.png

[vkog 0]

[1.214.194.50]

[103.13.122.25]

[109.237.151.213]

[114.112.188.11]

[116.93.49.10]

[118.175.69.20]

[118.213.88.25]

[118.25.5.121]

[119.1.109.96]

[119.255.41.225]

[12.156.132.67]

[12.232.164.2]

[120.139.132.61]

[120.193.208.162]

[121.126.21.31]

[121.14.104.226]

[121.199.44.57]

[121.28.72.197]

[122.155.5.75]

[122.192.35.145]

[122.226.212.222]

[122.49.30.133]

[123.163.188.34]

[123.30.236.39]

[124.95.128.184]

[125.236.242.204]

[130.185.152.133]

[140.114.55.124]

[142.179.187.55]

[146.185.158.65]

[148.245.26.198]

[151.237.180.123]

[173.14.225.197]

[173.64.102.19]

[174.46.186.186]

[176.28.54.203]

[176.31.156.83]

[176.61.137.157]

[177.32.150.201]

[177.99.206.58]

[178.18.24.196]

[178.216.50.194]

[178.216.50.92]

[178.77.74.5]

[180.74.130.190]

[182.71.151.202]

[184.107.48.183]

[184.22.252.114]

[184.70.14.158]

[186.176.192.67]

[187.6.142.109]

[187.75.250.45]

[188.244.169.203]

[189.101.135.210]

[189.11.160.27]

[189.31.185.53]

[190.147.143.204]

[190.186.50.31]

[190.210.136.21]

[190.69.172.138]

[192.228.107.146]

[192.31.187.201]

[192.69.94.212]

[193.104.8.33]

[193.164.131.35]

[194.151.87.145]

[195.190.13.106]

[195.222.27.168]

[197.221.241.50]

[198.52.115.74]

[2.228.234.137]

[200.201.138.42]

[200.54.196.2]

[200.54.199.178]

[200.72.11.132]

[201.163.145.101]

[201.24.87.180]

[201.73.221.101]

[201.86.237.202]

[202.101.111.137]

[202.107.225.31]

[202.162.24.36]

[202.191.200.100]

[202.4.96.225]

[203.188.252.55]

[203.45.77.115]

[203.73.140.202]

[204.188.195.211]

[204.188.195.45]

[204.188.195.63]

[208.85.114.158]

[210.245.90.27]

[211.115.112.69]

[211.154.139.142]

[212.232.71.238]

[212.34.56.18]

[213.7.244.207]

[216.24.204.169]

[217.174.248.152]

[217.66.159.104]

[218.200.188.182]

[218.22.211.69]

[218.234.17.41]

[218.74.19.178]

[218.93.192.91]

[220.128.95.68]

[220.135.186.178]

[220.172.191.30]

[222.236.220.198]

[222.240.228.88]

[222.36.3.82]

[222.52.118.210]

[222.52.118.211]

[222.52.118.212]

[222.52.118.213]

[222.52.118.214]

[222.52.118.215]

[222.52.118.220]

[222.52.118.221]

[222.52.118.222]

[222.52.118.223]

[222.52.118.224]

[222.52.118.225]

[37.235.203.87]

[37.72.188.125]

[41.215.236.247]

[41.59.254.243]

[41.66.193.149]

[41.71.216.144]

[41.86.105.35]

[46.105.228.185]

[46.149.111.93]

[46.26.221.2]

[46.29.255.45]

[46.35.22.10]

[5.79.65.66]

[5.79.66.131]

[5.9.156.176]

[50.77.165.121]

[58.211.123.162]

[58.246.252.115]

[60.207.196.10]

[61.19.202.130]

[62.140.23.77]

[62.23.185.193]

[62.49.101.65]

[62.75.252.82]

[64.106.177.220]

[64.172.243.73]

[64.199.111.26]

[66.85.173.13]

[67.23.164.7]

[67.23.169.110]

[68.169.45.126]

[68.233.232.148]

[69.58.116.47]

[70.167.231.57]

[71.94.31.15]

[72.68.135.94]

[77.73.49.196]

[78.46.49.105]

[78.46.84.119]

[78.46.90.22]

[80.32.121.246]

[80.59.27.221]

[81.142.109.133]

[81.192.156.83]

[82.117.202.34]

[82.209.212.179]

[83.142.226.222]

[84.14.12.84]

[85.105.164.143]

[85.214.195.36]

[87.106.135.173]

[87.23.225.197]

[87.29.76.213]

[88.191.237.51]

[88.198.35.173]

[88.198.39.113]

[88.198.49.114]

[88.80.15.67]

[89.120.6.3]

[89.200.173.19]

[89.248.172.122]

[91.183.35.254]

[91.183.99.84]

[93.115.92.52]

[93.120.85.63]

[95.141.32.104]

[95.215.60.40]

[95.224.30.103]

[95.39.221.76]

[95.76.242.204]

[99.16.218.201]

[99.30.189.101]

 

[kmx236 0]

[1.214.194.50]

[103.13.122.25]

...................

[95.215.60.40]

[95.224.30.103]

[95.39.221.76]

[95.76.242.204]

[99.16.218.201]

[99.30.189.101]

Это за какой период?

[vkog 0]

за 1 год только на одном, могу еще с трёх вывалить.

[kmx236 0]

Выкладывайте конечно же. А причины блокировки на каких службах?

[vkog 0]

Mail, FTP

[vkog 0]

еще и просто подбор к web морде

[hafis 0]

еще и просто подбор к web морде

 

коллеги, на мой взгляд, это детский сад. У меня этих блокированных (Синолоджей) айпишников - вагон и маленькая тележка, они каждый день новые. Я сначала ради интереса смотрел, откуда (был молодой и зеленый, энергии девать было некуда) потом бросил за ненадобностью и бессмысленностью затрат времени на это. Жизнь - коротка. А преимущества компьютерных систем - в автоматизации повторяемых действий.

 

Вопрос отнюдь не в том, чтобы собрать хоть один раз зашкваренные айпишники в один список, это не решает проблем, это пятый уровень значимости. Проблемы секьюрности решаются грамотной настройкой "противопожарной стены", и длинными бессмысленными паролями. И, забить на всех, кто пытается бутфорсить. Этим Вы сэкономите свое время и усилия на поддержание безопасности. Один раз настроить - проще, чем постоянно пополнять списки блокированных (чужими системами) айпишников. Тем более, что сама синолоджи прекрасно справляется сама с автоматизацией нужных действий.

[hafis 0]

Те кто заранее позаботились установив надежный пароль и включили блокировку по IP, в случаи неудачных аутентификации, могут жить более или менее спокойно.

 

Этого, как правило, достаточно.

"составление списков" - это просто беготня постфактум, Вы не защищаете систему лучше, потому что существует еще масса айпишников, которых в опубликованных тут списках - нет.

И удачного бутфорса с любого из них достаточно чтобы дезавуировать любые имеющиеся тут списки. Ни на какой новый уровень безопасности текущую систему это не вытаскивает.

 

Гораздо лучше просто поставить достаточно длинный и бессмысленный пароль, блокировку от подбора,

и не беспокоиться больше о вопросе.

 

 

[Siroc-co 0]

коллеги, на мой взгляд, это детский сад. У меня этих блокированных (Синолоджей) айпишников - вагон и маленькая тележка, они каждый день новые.

Это ладно. Недавно запустил свой mail, и попёрло. В сутки до 300 IP блокировал по началу, сейчас остепенились, по десятку в день. Но перебор так и идёт, не прекращается.

А что будет, когда масштабно развернётся IPv6? Это ж жесть, там столько этих IP будет, что просто задосят.

так как я свой пароль знаю, а клиенты настроены, задал всего 1 попытку в 1 час. Не угадал - либо час жди, либо в блок.

Списки можно вести только для того, чтоб переносить их на второе устройство. Но списки не есть хорошо. Был случай пару месяцев назад, когда друган не смог зайти на почту. Стал разбираться. Оказалось, что его IP в был занесён в блек лист ещё три месяца назад. Тоесть его провайдер дал ему IP, с которого меня уже пытались ломать.

[polanat 0]

Это ладно. Недавно запустил свой mail, и попёрло. В сутки до 300 IP блокировал по началу, сейчас остепенились, по десятку в день. Но перебор так и идёт, не прекращается.

А что будет, когда масштабно развернётся IPv6? Это ж жесть, там столько этих IP будет, что просто задосят.

так как я свой пароль знаю, а клиенты настроены, задал всего 1 попытку в 1 час. Не угадал - либо час жди, либо в блок.

Списки можно вести только для того, чтоб переносить их на второе устройство. Но списки не есть хорошо. Был случай пару месяцев назад, когда друган не смог зайти на почту. Стал разбираться. Оказалось, что его IP в был занесён в блек лист ещё три месяца назад. Тоесть его провайдер дал ему IP, с которого меня уже пытались ломать.

Если по заграницам не разъезжаете, то просто поставьте в брандмауере разрешающее правило на Country Code = RU.

 

PS Я тоже когда-то "учил" китайские города по айпишникам, которые ко мне стучались - мама родная, сколько их было - попробуйте хотя бы на день пробросить на роутере 22-й порт - и "всё поймешь и всё увидишь сам"

[Accelerator 0]

Если по заграницам не разъезжаете, то просто поставьте в брандмауере разрешающее правило на Country Code = RU.

Хм. А покажите скрин как это сделать? А то у меня можно максиум по подсети фильтровать. В DSM5 сделали фильтр по стране?

[polanat 0]

Хм. А покажите скрин как это сделать? А то у меня можно максиум по подсети фильтровать. В DSM5 сделали фильтр по стране?

 

PS У меня какие-т проблемы с русским языком - ещё руки не дошли разобраться - так что скрины и выдержка из сино-хелпа на английском

 

http://s017.radikal.ru/i419/1409/7a/53a400a15533t.jpghttp://s004.radikal.ru/i207/1409/10/8eea4e4a01b3t.jpg

 

 

Firewall

 

Creating firewall rules at Control Panel > Security > Firewall helps prevent unauthorized login and control service access. You can decide whether to allow or deny access to certain network ports by specific IP addresses.

 

To create a firewall rule:

1.Select a network interface from the drop-down menu in the upper right corner.

2.Click Create.

3.In the Ports section, select one of the following:

◾Choose All to apply the rules to all ports.

◾Choose Select from a list of built-in applications.

◾Choose Custom and click Custom, and then enter up to 15 ports separated by commas, or specify a port range.

4.In the Source IP section, select one of the following:

◾Choose All to allow or deny all IP addresses.

◾Choose Specific IP, and click Select, to allow or deny specific IP addresses or IP range.

◾Choose Region, and click Select, and then specify up to 15 countries to allow or deny IP addresses of that region.1

5.In the Action section, select one of the following:

◾Choose Allow to allow access by ports and source IP addresses you have specified.

◾Choose Deny to deny access by ports and source IP addresses you have specified.

 

You can also choose to Allow access or Deny access at the bottom of the rule list to allow or deny the access that matches no rules.

 

 

Note:

◾You can create up to 100 rules for a network interface.

◾Drag-and-drop to reorder the rules in the list.

◾Rules are prioritized according to their positions in the list.

◾If you have multiple network ports connecting to the same subnet, the firewall rules may not work properly.2

◾When you combine multiple LAN ports with link aggregation, firewall rules from the first network interface will be applied.

◾If your Synology NAS device connects to the Internet via PPPoE, the related firewall rules must be configured on the corresponding PPPoE interface.

 

____

 

1.This function includes GeoLite data created by MaxMind, available from http://www.maxmind.com.

2.Applies to specific models only.

 

[Siroc-co 0]

Если по заграницам не разъезжаете, то просто поставьте в брандмауере разрешающее правило на Country Code = RU.

Не знал раньше об этом. Поставил и сообщения о блокировках прекратились.

Следующим шагом хочу собрать диапазоны сетей мобильных операторов и основных провайдеров, которыми пользуются мои юзеры, и разрешить только эти IP для MailStation. Так сказать ещё более сузить круг.

 

P.S. Хотя не парьтесь, скоро всё само-собой образуется, в свете последних новостей от нашего любимого государства: http://russian.rt.com/article/50608

"...российские операторы должны будут настроить оборудование так, чтобы в случае чрезвычайной ситуации российский интернет можно было оперативно отключить от глобального..."

[polanat 0]

Не знал раньше об этом. Поставил и сообщения о блокировках прекратились.

Следующим шагом хочу собрать диапазоны сетей мобильных операторов и основных провайдеров, которыми пользуются мои юзеры, и разрешить только эти IP для MailStation. Так сказать ещё более сузить круг.

 

P.S. Хотя не парьтесь, скоро всё само-собой образуется, в свете последних новостей от нашего любимого государства: http://russian.rt.com/article/50608

"...российские операторы должны будут настроить оборудование так, чтобы в случае чрезвычайной ситуации российский интернет можно было оперативно отключить от глобального..."

Успехов, только с правилами брандмауера надо быть внимательными - если на один и то же критерий одно разрешающее правило а другое запрещающее, то по совокупности сработает запрещающее. Ну и так далее...

 

PS "российский интернет можно было оперативно отключить от глобального" - стесняюсь спросить, а что в плане этих учений все хостинговые площадки тоже резко станут российскими ;) Тот же Gmail например. А сколько частников хостят свои сайты на Амазоне. Да уж...

[Siroc-co 0]

PS "российский интернет можно было оперативно отключить от глобального" - стесняюсь спросить, а что в плане этих учений все хостинговые площадки тоже резко станут российскими ;) Тот же Gmail например. А сколько частников хостят свои сайты на Амазоне. Да уж...

Не знаю, вступил закон в силу или нет, но точно знаю что над ним работали. Закон говорит о том, что все, кто ведёт бизнес в РФ, особенно обработку данных касающихся лиц имеющих гражданство РФ, обязаны делать это на оборудовании размещённом в РФ. Так что амазоны, эбей и прочие, или работают на территории РФ прогибаясь под наше правительство, или до свидания. Тоже касается и гугла с его гМайлом.

P.S. А вы что, хабр совсем не читаете?

[polanat 0]

Не знаю, вступил закон в силу или нет, но точно знаю что над ним работали. Закон говорит о том, что все, кто ведёт бизнес в РФ, особенно обработку данных касающихся лиц имеющих гражданство РФ, обязаны делать это на оборудовании размещённом в РФ. Так что амазоны, эбей и прочие, или работают на территории РФ прогибаясь под наше правительство, или до свидания. Тоже касается и гугла с его гМайлом.

P.S. А вы что, хабр совсем не читаете?

Тут скорее другое - "И - боже вас сохрани - не читайте до обеда советских газет."

 

PS Хабр читаю после обеда и Макаревича я тоже люблю и уважаю ;) ...

[Accelerator 0]

Черт, кажись функция блокировки по региону появилась только в DSM5. У меня в 4.3 такого нет:

http://pix.academ.org/img/2014/09/19/7b173bd0ac4c89bfe786e74c194c3767.jpg

[polanat 0]

"Думайте сами, решайте сами - Иметь или не иметь"...

 

PS Если хочется оставаться на DSM 4.3 и при этом "трогать" DSM 5.0, то Вам сюда -> DSM 5.0 Live Demo