Сегодня утром мы пришли в офис (более 30 сетевых систем) и обнаружили, что наш почтовый сервер внесен в черный список CBL по следующим причинам:
Этот IP-адрес заражен или использует NAT для машины, зараженной ботнетом ZeroAccess, также известным как Sirefef. Более подробную информацию можно найти на сайте Википедия. Чаще всего он используется для майнинга биткойнов или мошенничества с кликами, но, поскольку он содержит загрузочную часть, он может делать все, что угодно.
Другой разработчик и я склонны верить тому, что говорят такие организации, как Spamhaus, и полагать, что у нас где-то есть вирус. Наши сетевые администраторы больше склоняются к тому, чтобы это был наш веб-сервер (AWS), который отправляет квитанции клиентам через наш внутренний почтовый сервер. Почтовый сервер действует как ретранслятор, но разрешает соединения только внутри или с IP-адреса нашего веб-сервера.
Какой рейтинг у списков, таких как CBL, для ложных срабатываний, является ли предупреждение о заражении чем-то, что может быть получено чем-то, что является очень общим чеком?
Я часто обращаюсь в службу поддержки из-за списков CBL. Ни разу не видел ложных срабатываний. Если CBL считает, что что-то за вашим IP-адресом заражено, они, скорее всего, правы.
Помните, что объявление CBL не обязательно вызвано спамом, рассылаемым через ваш почтовый сервер. Любой тип подключения бота с использованием разных протоколов / портов от зараженного ноутбука к хосту CBL может инициировать перечисление. Поэтому рекомендуется использовать выделенный IP-адрес для вашего почтового сервера.
Внимательно прочтите страницу полного объяснения CBL, они обычно дают некоторую информацию о том, что искать в журналах вашего брандмауэра. и т.п.