저는 Shiva라는 Python 기반 SMTP 모의 오픈 릴레이 도구와 함께 Ubuntu에서 AWS EC2 인스턴스를 실행하고 있습니다. 요약하면 기본적으로 가짜 오픈 릴레이 서버를 실행하고 있으므로 스팸/악성 코드 샘플을 수집 할 수 있습니다. 모든 것이 올바르게 구성되어 있고 외부 소스에서 포트 25를 통해 telnetting하여 성공적으로 테스트했습니다. 내 EC2 인스턴스 내에서 메시지 전송 에이전트 (exim4)가 기록/전송 한 메시지뿐만 아니라 포트 25에 대한 성공적인 연결을 확인한 다음이 허니팟 설정에 대해 원하는대로 로컬 mysql db로 리디렉션되고 구문 분석됩니다. 모든 모양이 제대로 작동하고 있습니다.SMTP 허니팟이 알려진 스팸 IP에 연결된 포트 25에서 패킷을받지 못했습니다.
그러나 3 일 동안 내 테스트 메시지 외에 하나의 메시지를받지 못했습니다. (여러 IP 및 오픈 릴레이 테스팅 툴을 통한 테스트 성공). catch는 알려진 스패머/봇넷 IP가 연결되어있는 것을 볼 수 있지만 아무 것도 보내지 않습니다. IPTRAF의 아래 스크린 샷은 세 번째와 네 번째 라인의 예제입니다.
54.172.131는 [.] (220)은 공지 된 스팸 소스이다. 다섯 번째 줄과 여섯 번째 줄은 텔넷을 통한 성공적인 테스트 연결입니다. 보시다시피 스팸 IP는 포트 25를 소스 포트로 사용하지만 146.185.x.x의 테스트 연결에는 dest 포트 25가 있습니다. 스팸 IP가 무작위 소스 포트를 사용해서는 안되며 내 테스트에서 dest처럼 25를 사용해야합니까? 모든 통찰력이나 방향은 높이 평가됩니다. 내가 가지고있는 유일한 단점은 스팸/봇넷 IP 연결이 아웃 바운드 SMTP 트래픽에 Amazon의 스로틀로 인해 AWS 주소 공간에서 어떤 것도 통해 릴레이하려고하지 않으며 IPTRAF 내에서 볼 수있는 연결이 null로 플래그 된 포트 스캐닝이라는 것입니다 패킷.
구성 고려
- exim4를 MTA로 사용
- 허니팟의 IP 주소가 AWS 주소 공간에 있음
* "내 테스트에서 스팸 IP가 무작위 소스 포트를 사용해서는 안되며 25 번 포트는 dest처럼 사용해야합니까?"* 반드시 그런 것은 아닙니다. 일부 보내는 메일 구현은 소스 포트 25를 사용합니다. –