Черный список IP на CBL #617256

IP-адрес 62.141.122.** указана в CBL. Это, кажется, заражен трояном рассылки спама или прокси-сервер. Это был последний обнаруженный в 2012-06-26 05:00 GMT (+ / - 30 минут), около 3 часов назад. Было relisted после предыдущего удаления в 2012-06-25 07:36 GMT (1 дней, 7 минут назад) Народ как про мониторить с какого ящика идет spam? Почтовый сервер на echange 2010. Второй день уже ip адрес отправляют в черный список на CBL, а найти ящик с которого валиться спам не могу. Суть в том что, при отправке письмо, письмо приходит обратно с текстом: Не удалось выполнить доставку следующим получателям или группам: iput@novgorod.net Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей, либо же доставке препятствует другое ограничение. Следующая организация отклонила сообщение: mx1.novgorod.net. Диагностические сведения для администраторов: Формирующий сервер: mail.lensahar.ru iput@novgorod.net mx1.novgorod.net #<mx1.novgorod.net #5.7.1 smtp; 554 5.7.1 Service unavailable; Client host [62.141.122.58] blocked using cbl.abuseat.org; Blocked - see ; #SMTP# Исходные заголовки сообщения: Received: from EX10-01.Lensahar.local (ex10-01.lensahar.local [192.168.0.17])    by mail.lensahar.ru (Postfix) with ESMTP id 580C9E4BB    for <iput@novgorod.net>; Tue, 26 Jun 2012 11:27:02 +0400 (MSD) From: =?koi8-r?B?8c7Lz9fTy8nKIOvJ0snMzA==?= <yankovskiy@lensahar.ru> To: "iput@novgorod.net" <iput@novgorod.net> Subject: =?koi8-r?B?Rlc6IOTM0SDsycTJySD3ycvUz9LP187ZLSDLz83NxdLexdPLz8Ug0NLFxMzP?= =?koi8-r?B?1sXOycUg7MXO08HIwdLB?= Thread-Topic: =?koi8-r?B?5MzRIOzJxMnJIPfJy9TP0s/XztktIMvPzc3F0t7F08vPxSDQ0sXEzM/Wxc7J?= =?koi8-r?B?xSDsxc7TwcjB0sE=?= Thread-Index: Ac1OywcLf0w9fAsSS7+yW3fKb7BMtwEoekKA Disposition-Notification-To: =?koi8-r?B?8c7Lz9fTy8nKIOvJ0snMzA==?=    <yankovskiy@lensahar.ru> Return-Receipt-To: <yankovskiy@lensahar.ru> Date: Tue, 26 Jun 2012 07:27:32 +0000 Message-ID: <3C792BD4857CC147B096184CF04F9CA65C31F3D5@EX10-02.Lensahar.local> Accept-Language: ru-RU, en-US Content-Language: ru-RU X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-originating-ip: [192.168.0.131] Content-Type: text/plain MIME-Version: 1.0

майл скорее не при делах, отрубите нат или заблокируйте 25/995 порты для всех, а лучше оставьте только явно нужные и по пользователям

This IP is infected (or NATting for a computer that is infected) with the cutwail spambot. In other words, it's participating in a botnet. If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

Вы имеете виду заблокировать порты 25 и 995, на шлюзе?

Up...Парни Help me...

Да, заблочить исходящие соединения на эти порты Может стоит помониторить на шлюзе трафик на порты из ?

шлюз на ТМГ промаоиторил, все чисто, по этим портам. Только интересно Initiated Connection TMG02 6/26/2012 11:38:17 AM Log type: Firewall service Status: The operation completed successfully.   Source: Internal (192.168.0.102:58560) Destination: Local Host (192.168.0.14:8080) Protocol: HTTP Proxy Additional information Number of bytes sent: 0 Number of bytes received: 0 Processing time: 0ms Original Client IP: 192.168.0.102 Постоянно слушает эти порты. Логов на столько много вот второй Initiated Connection TMG02 6/26/2012 11:38:17 AM Log type: Firewall service Status: The operation completed successfully.   Source: Internal (192.168.0.102:58561) Destination: Local Host (192.168.0.14:8080) Protocol: HTTP Proxy Additional information Number of bytes sent: 0 Number of bytes received: 0 Processing time: 0ms Original Client IP: 192.168.0.102 и так далее. К чему бы это?

подниму

чего там мониторить, закрой и все