https://www.opennet.ru/openforum/vsluhforumID1/82491.html Здравствуйте. Подскажите, вчера от провайдеро пришло сообщение, что с какого-то кампьютера в сети проискодит рассылка спама. Компьютеров в сети 30, и 1 почтовый сервер(postfix). Почтовые клиеты в сети настроенны на локальный сервер, а он уже перебрасывает всю почту через провайдерский smtp. Вообщем подскажите, как можно выявить компьютер с которого происходит рассылка спама, и как можно на сервере в сети разрешить работоту с 25 портом только почтовому серверу postfix?<br><br>ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был сбой в работе почтового сервера, и возможно писма сотрудников оставались в очереде на сервере, потом когда я его перезагрузил они сразу все отправились и провайдер посчитал это за спам. возможно ли такое?<br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#7 Tue, 21 Oct 2008 17:08:32 GMT &gt;&gt;[оверквотинг удален]<br>&gt; есть какая нить программа в <br>&gt;режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера <br>&gt;по определенному порту? <br><br>Вечер удался. :):):)<br>если трафик наружу идёт *nix сервер, то man tcpdump<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#6 Tue, 21 Oct 2008 13:33:04 GMT &gt;&gt;Или может можно дать разрешение на шлюзе на 25 порт только для <br>&gt;&gt;postfix? <br>&gt;эххх, хотел прописать в iptables <br>&gt;# iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT <br>&gt;но пишет что <br>&gt;Bad argument `25' <br><br>Может, переменная $ip - пустая?...<br><br>Ж-) http://www.opennet.ru/openforum/vsluhforumID15/2249.html#2<br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#5 Tue, 21 Oct 2008 13:14:31 GMT <br>&gt;[оверквотинг удален]<br>&gt;колличество писем с нашего ип было 100 в минуту. И порог <br>&gt;срабатывания у них спам фильтра что-то около 3000. <br>&gt;Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит <br>&gt;netams, <br>&gt;в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... <br>&gt;их и проверял на вирусы, может есть какая нить программа в <br>&gt;режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера <br>&gt;по определенному порту? <br>&gt;Или может можно дать разрешение на шлюзе на 25 порт только для <br>&gt;postfix? <br><br>эххх, хотел прописать в iptables<br># iptables -A FORWARD -p tcp -s $ip --dport 25 -j REJECT<br><br>но пишет что <br><br>Bad argument `25'<br>Try `iptables -h' or 'iptables --help' for more information.<br><br>подскажите как правильно должна писаться эта запись?<br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#4 Tue, 21 Oct 2008 11:39:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе <br>&gt;&gt;&gt;разрешил доступ по 25-му порту только к нашему почтовику, а ко <br>&gt;&gt;&gt;всем остальным закрыл. <br>&gt;&gt;<br>&gt;&gt;да у меня во внешку 25 закрыть вообще, это кто-то из лакалки <br>&gt;&gt;через 25 порт что-то шлет. А кто не могу найти. Может <br>&gt;&gt;быть какой нить анализатор пакетов на сервак можно поставить или еще <br>&gt;&gt;что? <br>&gt;<br>&gt;pflogsum и посмотреть что он покажет <br><br>Не, ну в логах postfix ничего нет, тоесть за день если писем 50 было и то хорошо, провайдер же мне сказал что примерное колличество писем с нашего ип было 100 в минуту. И порог срабатывания у них спам фильтра что-то около 3000. <br>Проверил сегодня все компьютеры, нашел на некоторых вирусы... На сервере еще стоит netams, <br>в режиме бездействия с некоторых компов продолжал идти траф с 25 порта... их и проверял на вирусы, может есть какая нить программа в режиме реального времени, в которой можно просмотреть сетевую активность отдельного компьютера по опреде https://www.opennet.ru/openforum/vsluhforumID1/82491.html#3 Tue, 21 Oct 2008 06:58:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;отправились и провайдер посчитал это за спам. возможно ли такое? <br>&gt;&gt;<br>&gt;&gt;у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе <br>&gt;&gt;разрешил доступ по 25-му порту только к нашему почтовику, а ко <br>&gt;&gt;всем остальным закрыл. <br>&gt;<br>&gt;да у меня во внешку 25 закрыть вообще, это кто-то из лакалки <br>&gt;через 25 порт что-то шлет. А кто не могу найти. Может <br>&gt;быть какой нить анализатор пакетов на сервак можно поставить или еще <br>&gt;что? <br><br>pflogsum и посмотреть что он покажет <br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#2 Tue, 21 Oct 2008 06:56:11 GMT &gt;&gt;ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был <br>&gt;&gt;сбой в работе почтового сервера, и возможно писма сотрудников оставались в <br>&gt;&gt;очереде на сервере, потом когда я его перезагрузил они сразу все <br>&gt;&gt;отправились и провайдер посчитал это за спам. возможно ли такое? <br>&gt;<br>&gt;у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе <br>&gt;разрешил доступ по 25-му порту только к нашему почтовику, а ко <br>&gt;всем остальным закрыл. <br><br>да у меня во внешку 25 закрыть вообще, это кто-то из лакалки через 25 порт что-то шлет. А кто не могу найти. Может быть какой нить анализатор пакетов на сервак можно поставить или еще что?<br> https://www.opennet.ru/openforum/vsluhforumID1/82491.html#1 Tue, 21 Oct 2008 06:43:43 GMT &gt;ps логи почты смотрел, там ничего не нашел подозрительного вроде. только был <br>&gt;сбой в работе почтового сервера, и возможно писма сотрудников оставались в <br>&gt;очереде на сервере, потом когда я его перезагрузил они сразу все <br>&gt;отправились и провайдер посчитал это за спам. возможно ли такое? <br><br>у меня почтовик свой,собственный. когда стали трояны роиться, пока искал в файерволе разрешил доступ по 25-му порту только к нашему почтовику, а ко всем остальным закрыл. <br><br>