今天早上我们进了办公室(30多个networking系统),发现我们的电子邮件服务器在CBL上被列入黑名单:
此IP地址受感染,或正在感染被ZeroAccess僵尸networking感染的机器(也称为Sirefef)。 更多信息可以从维基百科find。 它最常用于比特币挖掘或点击欺诈,但由于它包含一个下载器部分,它可以做任何事情。
另一位开发者和我倾向于相信像Spamhaus这样的组织说,并相信我们在某个地方有病毒。 我们的networkingpipe理员更倾向于成为我们的networking服务器(AWS),通过我们的内部电子邮件服务器向客户发送收据。 邮件服务器作为中继,但只允许内部或从我们的networking服务器的IP连接。
像CBL这样的名单有什么样的误报率,是一种感染警报,可以通过某种非常通用的收据来收集?
由于CBL列表,我经常处理支持案例。 我从来没有看到过假阳性。 如果CBL认为你的IP背后有东西被感染,他们很可能是正确的。
请记住,CBL列表不一定是由通过邮件服务器发送的垃圾邮件引起的。 任何使用受感染的笔记本电脑到CBL主机的不同协议/端口的机器人连接都可能触发列表。 因此build议为您的邮件服务器使用专用IP。
仔细阅读CBL的完整说明页面,他们通常会提供一些关于在防火墙日志中查找的信息。 等等