Ich betreibe eine AWS EC2-Instanz mit Ubuntu neben dem Python-basierten SMTP-Pseudo-Open-Relay-Tool namens Shiva. Kurz gesagt, ich betreibe einen gefälschten Open-Relay-Server, um Spam- und Malware-Samples zu sammeln. Ich habe alles anscheinend richtig konfiguriert und habe es erfolgreich getestet, indem ich über Port 25 von einer externen Quelle telnette. Innerhalb meiner EC2-Instanz kann ich die erfolgreiche Verbindung zu Port 25 sehen, sowie die Nachricht, die von dem Nachrichtentransfer-Agenten (exim4) protokolliert/übertragen wird und dann umgeleitet und analysiert zu einer lokalen mysql-db, wie für diese Honeypot-Einrichtung gewünscht. Alles sieht gut aus.SMTP-Honeypot erhält keine Pakete von Port 25 verbunden. Bekannte Spam-IPs
Allerdings habe ich nach drei Tagen keine einzige Nachricht außer meinen eigenen Testnachrichten erhalten. (hat erfolgreich Tests von mehreren IPs und über Open-Relay-Test-Tools durchgeführt). Der Haken ist, dass ich bekannte Spammer/Botnet-IPs sehen kann, die sich damit verbinden, aber sie senden nie etwas. Der folgende Screenshot von IPTRAF zeigt ein Beispiel dafür in der dritten und vierten Zeile.
54.172.131 [.] 220 ist die bekannte Spam-Quelle. Die fünfte und sechste Zeile stammen von meiner eigenen erfolgreichen Testverbindung via Telnet. Wie Sie sehen können, verwendet die Spam-IP Port 25 als Quellport, aber meine Testverbindung von 146.185.x.x hat 25 als Zielport. Sollte die Spam-IP nicht wie in meinem Test einen randomisierten Quellport und 25 als Ziel verwenden? Jede Einsicht oder Richtung wird geschätzt. Die einzige Ahnung, die ich habe, ist, dass die Spam-/Botnet-IP-Verbindungen nicht durch irgendetwas im AWS-Adressraum durch Amazons Drosselung des ausgehenden SMTP-Datenverkehrs weitergeleitet werden und dass die Verbindungen, die ich in IPTRAF sehe, nur Port-Scans mit Null-Flags sind Pakete.
Überlegungen zur Konfiguration
- Flushed alle iptables-Regeln als
- erlaubt sowohl Inbound- und Outbound-Port 25 Verbindungen zu 0.0.0.0/0 innerhalb EC2-Sicherheitsgruppe
- Keine andere Firewalls anstelle
- erwünscht Unter Verwendung von exim4 als MTA
- IP von Honeypot sitzt innerhalb AWS-Adressraum
* "Sollte die Spam-IP nicht einen randomisierten Quellport und 25 als Ziel verwenden, wie in meinem Test?" * Nicht unbedingt, nein. Einige ausgehende E-Mail-Implementierungen verwenden den Quellport 25. –