分享一个防止发送垃圾邮件的 iptables 规则

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

爱意满满的作品展示区。

这是一个创建于 3689 天前的主题，其中的信息可能已经有所发展或是发生改变。

对着维基上的List of TCP and UDP port numbers撸出来的，对于防止发送邮件应该是非常有效。

# SMTP Ports
iptables -A OUTPUT -p tcp -m multiport --dports 25,26,465 -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -m multiport --dports 25,26,465 -j DROP

# POP Ports
iptables -A OUTPUT -p tcp -m multiport --dports 109,110,995 -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -m multiport --dports 109,110,995 -j DROP

# IMAP Ports
iptables -A OUTPUT -p tcp -m multiport --dports 143,218,220,993 -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -m multiport --dports 143,218,220,993 -j DROP

# Other Mail Services
iptables -A OUTPUT -p tcp -m multiport --dports 24,50,57,158,209,587,1109 -j REJECT --reject-with tcp-reset
iptables -A OUTPUT -p udp -m multiport --dports 24,50,57,158,209,587,1109 -j DROP

第 1 条附言 · 2014-10-01 00:51:13 +08:00

这些规则是在公共代理上用的，防止奇怪的用户发垃圾邮件导致停服

iptables

multiport

dports

8 条回复 • 2014-12-06 00:55:48 +08:00

neoz

2014-09-30 22:42:21 +08:00 via iPhone

我是路过的酱油党。你似乎不常上推

llbbzh

2014-09-30 22:43:19 +08:00

@neoz 每天都要刷一下，而且我是一个推特搬运站的搬运君之一

oott123

2014-10-01 00:07:59 +08:00 via Android

呃，这连正常邮件也一起拦截了不是…

ytf4425

2014-10-01 10:34:54 +08:00

适合各种开shadowsocks分享的之类的

fangdingjun

2014-10-01 11:56:17 +08:00

我当初共享shadowsocks时，只允许80,443端口外出，什么垃圾邮件都是浮云

llbbzh

2014-10-01 12:19:19 +08:00

@fangdingjun 我这么想过，但我觉得这样可用性不好，比如要访问非标准端口网站或者要用来代理RTSP怎么办

easyhome

2014-10-01 13:54:09 +08:00

用limit限制不错
比如:
iptables -A OUTPUT -p tcp --dport 110 -m limit --limit 5/m --limit-burst 20 -j ACCEPT
在最后一条将所有包丢掉
对于是添加在OUTPUT, FORWARD还是INPUT，使用的朋友要考虑其场景，在第一条结合 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 提提速度

ryd994

2014-12-06 00:55:48 +08:00

你关POP和IMAP干嘛，这两个都是只读用于查看邮件的，不能发送……