IP-адрес 62.141.122.** указана в CBL. Это, кажется, заражен трояном рассылки спама или прокси-сервер.

Это был последний обнаруженный в 2012-06-26 05:00 GMT (+ / - 30 минут), около 3 часов назад.

Было relisted после предыдущего удаления в 2012-06-25 07:36 GMT (1 дней, 7 минут назад)


Народ как про мониторить с какого ящика идет spam?
Почтовый сервер на echange 2010.
Второй день уже ip адрес отправляют в черный список на CBL, а найти ящик с которого валиться спам не могу.

Суть в том что, при отправке письмо, письмо приходит обратно с текстом:
Не удалось выполнить доставку следующим получателям или группам:

iput@novgorod.net
Сообщение не было доставлено из-за проблемы с разрешениями или безопасностью. Сообщение мог отклонить модератор, адресат может принимать сообщения электронной почты лишь от некоторых получателей, либо же доставке препятствует другое ограничение.


Следующая организация отклонила сообщение: mx1.novgorod.net.







Диагностические сведения для администраторов:

Формирующий сервер: mail.lensahar.ru

iput@novgorod.net
mx1.novgorod.net #<mx1.novgorod.net #5.7.1 smtp; 554 5.7.1 Service unavailable; Client host [62.141.122.58] blocked using cbl.abuseat.org; Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=62.141.122.58>; #SMTP#

Исходные заголовки сообщения:

Received: from EX10-01.Lensahar.local (ex10-01.lensahar.local [192.168.0.17])
   by mail.lensahar.ru (Postfix) with ESMTP id 580C9E4BB
   for <iput@novgorod.net>; Tue, 26 Jun 2012 11:27:02 +0400 (MSD)
From: =?koi8-r?B?8c7Lz9fTy8nKIOvJ0snMzA==?= <yankovskiy@lensahar.ru>
To: "iput@novgorod.net" <iput@novgorod.net>
Subject: =?koi8-r?B?Rlc6IOTM0SDsycTJySD3ycvUz9LP187ZLSDLz83NxdLexdPLz8Ug0NLFxMzP?=
=?koi8-r?B?1sXOycUg7MXO08HIwdLB?=
Thread-Topic: =?koi8-r?B?5MzRIOzJxMnJIPfJy9TP0s/XztktIMvPzc3F0t7F08vPxSDQ0sXEzM/Wxc7J?=
=?koi8-r?B?xSDsxc7TwcjB0sE=?=
Thread-Index: Ac1OywcLf0w9fAsSS7+yW3fKb7BMtwEoekKA
Disposition-Notification-To: =?koi8-r?B?8c7Lz9fTy8nKIOvJ0snMzA==?=
   <yankovskiy@lensahar.ru>
Return-Receipt-To: <yankovskiy@lensahar.ru>
Date: Tue, 26 Jun 2012 07:27:32 +0000
Message-ID: <3C792BD4857CC147B096184CF04F9CA65C31F3D5@EX10-02.Lensahar.local>
Accept-Language: ru-RU, en-US
Content-Language: ru-RU
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.0.131]
Content-Type: text/plain
MIME-Version: 1.0

майл скорее не при делах, отрубите нат или заблокируйте 25/995 порты для всех, а лучше оставьте только явно нужные и по пользователям

This IP is infected (or NATting for a computer that is infected) with the cutwail spambot. In other words, it's participating in a botnet.

If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

(1) Вы имеете виду заблокировать порты 25 и 995, на шлюзе?

Up...Парни Help me...

(3) Да, заблочить исходящие соединения на эти порты

(0) Может стоит помониторить на шлюзе трафик на порты из (3)?

(5) шлюз на ТМГ промаоиторил, все чисто, по этим портам. Только интересно

Initiated Connection TMG02 6/26/2012 11:38:17 AM
Log type: Firewall service
Status: The operation completed successfully.  
Source: Internal (192.168.0.102:58560)
Destination: Local Host (192.168.0.14:8080)
Protocol: HTTP Proxy
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 192.168.0.102

Постоянно слушает эти порты.


Логов на столько много вот второй

Initiated Connection TMG02 6/26/2012 11:38:17 AM
Log type: Firewall service
Status: The operation completed successfully.  
Source: Internal (192.168.0.102:58561)
Destination: Local Host (192.168.0.14:8080)
Protocol: HTTP Proxy
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 192.168.0.102


и так далее. К чему бы это?

подниму

чего там мониторить, закрой и все