私は、Shivaと呼ばれるPythonベースのSMTP模擬オープンリレーツールと一緒にUbuntuでAWS EC2インスタンスを実行しています。一言で言えば、私は基本的に偽のオープンリレーサーバーを実行しているので、それを使ってスパム/マルウェアサンプルを収集することができます。一見正しく設定されており、外部ソースからポート25経由でTelnetでテストしてみました。私のEC2インスタンス内では、メッセージ転送エージェント(exim4)によってログされ/転送されたメッセージだけでなく、ポート25への接続が成功したことがわかり、このハニーポットの設定に応じてローカルのmysql dbにリダイレクトおよび解析されます。すべて正常に動作するように見えます。SMTPハニーポットが既知のスパムIPに接続されたポート25からパケットを受信しない
しかし、私は完全な3日後に私自身のテストメッセージのほかに単一のメッセージを受け取っていません。 (複数のIPからのテストとオープンリレーテストツールによるテストが成功しました)。キャッチは、私が知っているスパマー/ボットネットIPが接続されているのを見ることができますが、何も送信しません。 IPTRAFの下のスクリーンショットは、3行目と4行目の例を示しています。
54.172.131 [。] 220は、既知のスパムソースです。 5行目と6行目はtelnetによる私の成功したテスト接続からのものです。ご覧のように、スパムIPはポート25を送信元ポートとして使用していますが、146.185.x.xからのテスト接続には宛先ポートとして25があります。私のテストでスパムIPが無作為化されたソースポートと25をdestとして使用するべきではありませんか?どんな洞察力や方向性にも感謝します。私が持っている唯一の愚直さは、スパム/ボットネットIP接続が、Amazonの送信SMTPトラフィックのスロットルのためにAWSアドレス空間内の何かを中継することを考えていないことと、IPTRAF内で見られる接続が、パケット。
設定上の考慮事項希望
- フラッシュさ、すべてのiptablesのルールEC2のセキュリティグループ内の0.0.0.0/0への25個の接続
- 場所ではありません他のファイアウォール
- exim4をMTAとして使用
- ハニーポットのIPがAWSアドレススペース内にある
* "私のテストでスパムIPが無作為化された送信元ポートを使用し、25をdestとして使用するべきではありませんか?"一部の送信メールの実装では、送信元ポート25が使用されます。 –