Здравствуйте! Оч прошу помочь в следующем вопросе:
Провайдер бычит шо от меня спам валит (несколько тыщ писем в день), я в файерволе(Kerio WinRout) не наблюдаю никакой SMTP активности! поставил снивак - тож самое. Ответе может-ли такое быть, и как с етим бороться?

• Гон провайдера?,Grmelik, 15:03 , 16-Янв-07
  • Гон провайдера?,Hardman, 15:33 , 16-Янв-07
    • Гон провайдера?,anyutini_glazki, 16:50 , 16-Янв-07
  • Гон провайдера?,Krist, 15:58 , 16-Янв-07
    • Гон провайдера?,Hardman, 16:24 , 16-Янв-07
      • Гон провайдера?,Krist, 16:31 , 16-Янв-07
        • Гон провайдера?,Hardman, 16:34 , 16-Янв-07
          • Гон провайдера?,Hardman, 16:35 , 16-Янв-07
            • Гон провайдера?,Krist, 16:41 , 16-Янв-07
              • Гон провайдера?,Hardman, 16:42 , 16-Янв-07
                • Гон провайдера?,Krist, 16:44 , 16-Янв-07
                  • Гон провайдера?,Hardman, 16:50 , 16-Янв-07
                    • Гон провайдера?,Krist, 16:54 , 16-Янв-07
                      • Гон провайдера?,Hardman, 16:56 , 16-Янв-07
                        • Гон провайдера?,Krist, 17:17 , 16-Янв-07
• Гон провайдера?,anyutini_glazki, 16:41 , 16-Янв-07
  • Гон провайдера?,Hardman, 16:46 , 16-Янв-07
• Гон провайдера?,Eldagar, 11:59 , 17-Янв-07
  • Гон провайдера?,Krist, 15:45 , 17-Янв-07
    • Гон провайдера?,Grmelik, 17:19 , 17-Янв-07
    • Гон провайдера?,Eldagar, 14:05 , 19-Янв-07

Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности?

>Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт
>шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности?
>

да я вообще пробовал останавливать сервер, звонил провайдеру - тажа фигня. Ктомуже снифер должен-же видеть?

>да я вообще пробовал останавливать сервер, звонил провайдеру - тажа фигня. Ктомуже
>снифер должен-же видеть?

Если он запущен на заражённой машине - не факт. Пускай вышлют подробные логи почтового сервера - тогда будет ясно с каких машин твоей сети проявляется подобная активность. Ну и надо ещё проверить на открытые релеи, может ты давно светишся в спамлистах.

>Может... Какой-нибудь троян сидит, подхватив данные из Аутлука, и через 25 порт
>шлет. Надо смотреть логи почтового сервера. Нет ли там подозрительной активности?
>

Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам из твоей сети. В этом случай провайдер может видеть только ip шлюза твоей сетки.

>Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам
>из твоей сети. В этом случай провайдер может видеть только ip
>шлюза твоей сетки.

ну да, это понятно. но почему ни файервол на шлюзе, ни сниффер не видят SMTP ссесий? Вот где загадка.

>
>>Твои серевера могут быть вообще не при чем. Могут станции-зомби отправлять спам
>>из твоей сети. В этом случай провайдер может видеть только ip
>>шлюза твоей сетки.
>
>ну да, это понятно. но почему ни файервол на шлюзе, ни сниффер
>не видят SMTP ссесий? Вот где загадка.

Видимо потому что они используют свои smtp.

>Видимо потому что они используют свои smtp.

но нет открытых 25 протов

вернее через порт 25 нифега не передаётся

>вернее через порт 25 нифега не передаётся

А провайдер не может сказать с какого ip в твоей подсетке спам идет, или он говорит адрес шлюза ?  

адрес шлюза говорит

>адрес шлюза говорит

А что на шлюзе стоит ?

>А что на шлюзе стоит ?
там сервак, он-же контролер домена, на нем маршрутизация через Kerio?, и почтовый сервак на нём-же

>>А что на шлюзе стоит ?
>там сервак, он-же контролер домена, на нем маршрутизация через Kerio?, и почтовый
>сервак на нём-же

Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит да еще и вместе с ad и брандмауером.

>Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит
>да еще и вместе с ad и брандмауером.

:) да ет не я.. я пришел ужо так всё и было

>>Да я уже понял. Вообщем жуть. Кто же винду на гейт ставит
>>да еще и вместе с ad и брандмауером.
>
>:) да ет не я.. я пришел ужо так всё и было
>

По винде на гейте не скажу, но с такой структурой как у вас - это не жисть.
Я бы нашел перво наперво попробовал найти зомби сканером портов - http://insecure.org/nmap/download.html

Представь что троян это мини-smtp-сервер подымаемый на рабочей станции и выполняющий задания  через третьи руки от хакера, которому этот троян принадлежит. Соответственно то что ты остановил свой smtp-сервер никак не влияет на трояны.

Можно посоветовать установить более подходящий smtp-сервер и файрвол под более подходящей серверной системой - Linux или FreeBSD.

>Можно посоветовать установить более подходящий smtp-сервер и файрвол под более подходящей серверной
>системой - Linux или FreeBSD.

но если даже троян SMTP сервер, я должен же видеть его трафик на шлюзном файерволе, а в Linux`е я нифега не рублю, такшо это для меня не вариант

У тебя фаер как настроен - изнутри можно все?

Ну закрой для начала в Керио 25 порт для всех внутренних машин и убедись вместе с провом что поток исчез. А потом уже ищи внутреннюю машину.

>У тебя фаер как настроен - изнутри можно все?
>
>Ну закрой для начала в Керио 25 порт для всех внутренних машин
>и убедись вместе с провом что поток исчез. А потом уже
>ищи внутреннюю машину.

Да вообще не понятно почему провайдер не видит кто именно шлет спам. Думаю, что зомби сам шлюз.

>Да вообще не понятно почему провайдер не видит кто именно шлет спам.
>Думаю, что зомби сам шлюз.

Как не видит? Он же сказал адрес твоего шлюза, а теперь уже твоя задача разобраться кто зомби в твоей сетке...

>Да вообще не понятно почему провайдер не видит кто именно шлет спам.
>Думаю, что зомби сам шлюз.

Закрытие для клиентов 25 порта позволит тебе понять - шлюз или нет.
А потом - если поток спама большой - машина банально вычмсляется по окошку активности сетевой карты, раз уж по другому не получается :)