Jam*_*lor 1 smtp blacklist malware
今天早上我们来到办公室(30 多个联网系统),发现我们的电子邮件服务器在 CBL 上被列入黑名单:
该 IP 地址感染了 ZeroAccess 僵尸网络(也称为 Sirefef),或者正在为感染了 ZeroAccess 僵尸网络的机器进行 NAT。可以从Wikipedia找到更多信息。它最常用于比特币挖掘或点击欺诈,但由于它包含下载器部分,它可以做任何事情。
另一个开发人员和我倾向于相信 Spamhaus 等组织的说法,并相信我们在某个地方感染了病毒。我们的网络管理员更倾向于将其作为我们的网络服务器 (AWS),通过我们的内部电子邮件服务器向客户发送收据。邮件服务器充当中继,但只允许内部连接或来自我们网络服务器 IP 的连接。
诸如 CBL 之类的列表对误报的比率是多少,感染警报是否可以被非常通用的收据接收到?
由于 CBL 列表,我经常处理支持案例。我从未见过假阳性。如果 CBL 认为您的 IP 背后的某些东西已被感染,那么他们很可能是对的。
请记住,CBL 列表不一定是由通过您的邮件服务器发送的垃圾邮件引起的。从受感染的笔记本电脑到 CBL 主机,使用不同协议/端口的任何类型的机器人连接都可以触发列表。因此,建议为您的邮件服务器使用专用 IP。
仔细阅读 CBL 上的完整解释页面,它们通常会提供一些有关在防火墙日志中查找内容的信息。等等。