СПАМ из сети.

[Electric200 0]

Вчера пришло письмо от ВОЛИ кабель, о том чте с ИП идет спам.

Написали что если не проведу меры, и не отпишу в течении часа, то отрубят инет.

В сетке 4 компа, за ними сидит четыре чайника. Маленький офис.

 

За день до этого, позвонил один из чайников с жалобой что пропал инет, когда подъехал то обнаружил изменение айпишника, к тому же вовсе на левый, даже не с этой сетки.

 

Инет маршрутит роутер D-link DIR-100.

Слабенький, но для 4 чел не думаю что нужно что то более..

 

На машинах стоит NOD с лицензиями.

Чайники юзают Outlook, так что спам думаю идет через него.

 

Завтра утром заеду туда, и сделаю маленькую профилактику, а вы уж плиз поправьте меня или дополните чем то.

Хочу сделать -

1. В безопасном режиме просканить машины сначала NODом, потом AVZ., cureit от dr.web

2. Все учетные записи переставить как "Ограниченные", в XP

3. Установить фарволл Outpost

4. Настроить NOD на более жесткие меры проверки.

5. Сказать чайникам, что если будут шнырить по плохим сайтам, и открывать письма от неизвестных юзеров - то поодрубую им пальцы.

 

 

Конечно есть еще такая мысль что трафик не куда и не девается, а просто ВОЛЯ ищет повод что стыбзить траф, и найти повод.. Но я все таки проверю вариант с троянами..

 

Что мне еще можно дописать к списку?

 

 

Спасибо ВСЕМ!)

[gall 6]

было такое

попробуй cureit от dr.web

[Electric200 0]

Вот да, забыл дописать .

[Neelix 33]

на роутере контроллировать отправку спама, это не аутглюк отправляет, а вирусня делает директ конекшн к удаленным сервакам.

[BUM 242]

на роутере дропай 25-й порт, для всех адресов кроме провайдерского.

темболее на этом роутере вроде как неплохой фаервол

[Electric200 0]

на роутере дропай 25-й порт, для всех адресов кроме провайдерского.

темболее на этом роутере вроде как неплохой фаервол

А можно по подробней? "- тоесть нужно в ферволе прописать что 25 порт для всех ИП использовать тдля конекта только к определенному SMTP серверу ?

А если СПАМ идет именно через этот сервер (провайдерский).?

[Electric200 0]

Вот еще... есть письмо от http://www.spamcop.net

 

Но я не могу разобрать это письмо , что куда и откуда /// Подскажите плиз

 

Return-Path: <3260846938.76de0b6e@bounces.spamcop.net>
Received: from tower.volia.net [82.144.192.47]
by beboka.volia.net with POP3 (fetchmail-6.3.7)
for <root@localhost> (single-drop); Mon, 07 Jul 2008 16:28:12 +0300 (EEST)
Received: from sc-smtp1-bulkmx.soma.ironport.com (sc-smtp1-bulkmx.soma.ironport.com [204.15.82.123])
by relay1.volia.net (8.13.8/8.13.8) with ESMTP id m67DRAoB090374
for <abuse@volia.net>; Mon, 7 Jul 2008 16:27:10 +0300 (EEST)
(envelope-from 3260846938.76de0b6e@bounces.spamcop.net)
Received: from sc-app4.spamcop.net ([204.15.82.23])
 by sc-smtp-vip.soma.ironport.com with SMTP; 07 Jul 2008 06:27:04 -0700
Received: from [62.123.31.182] by spamcop.net
with HTTP; Mon, 07 Jul 2008 13:27:04 GMT
From: "paolosca" <3260846938@reports.spamcop.net>
To: abuse@volia.net
Subject: [spamCop (77.122.35.240) id:3260846938]You don't have to worry about paying exorbitant pr..
Precedence: list
Message-ID: <rid_3260846938@msgid.spamcop.net>
Date: Mon, 7 Jul 2008 14:58:57 +0200
X-SpamCop-sourceip: 77.122.35.240
X-Mailer: [url="http://www.spamcop.net/"]http://www.spamcop.net/[/url] v2

[ SpamCop V2 ]
This message is brief for your comfort.  Please use links below for details.

Email from 77.122.35.240 / Mon, 7 Jul 2008 14:58:57 +0200
http://www.spamcop.net/w3m?i=z3260846938z76de0b6e4f5fe02164d71d25eb11cbcdz
77.122.35.240 is open proxy, see: http://www.spamcop.net/mky-proxies.html

[ Offending message ]
X-Account-Key: account2
Return-Path: <lxodwnhyelvn@bobdunwoody.com>
X-Original-To: x
Delivered-To: x
Received: from localhost (unknown [127.0.0.1])
by mediaweb.msw.it (Postfix) with ESMTP id 454867B1A0;
Mon,  7 Jul 2008 12:59:03 +0000 (UTC)
Received: from mediaweb.msw.it ([127.0.0.1])
by localhost (mediaweb [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 04711-01; Mon,  7 Jul 2008 14:59:02 +0200 (CEST)
Received: from courteous.busing.volia.net (courteous.busing.volia.net [77.122.35.240])
by mediaweb.msw.it (Postfix) with ESMTP id D7D727B08E;
Mon,  7 Jul 2008 14:58:57 +0200 (CEST)
Received: from [77.122.35.240] by bobdunwoody.com; Mon, 7 Jul 2008 14:59:00 +0200
From: "Colleen Fox" <lxodwnhyelvn@bobdunwoody.com>
To: <x>
Subject: You don't have to worry about paying exorbitant prices for your medications anymore.
Date: Mon, 7 Jul 2008 14:59:00 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: Aca6QSU6AWMF503FKIB40OOV267DDK==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Message-ID: <01c8__________________7a4d@lxodwnhyelvn>
X-Virus-Scanned: by amavisd-new at msw.it

 There is no need to buy medications in America at sky-high prices. Purchase them in Canada! 
All you need is to find a trustworthy online drugstore.
«CanadianPharmacy» maintains high standards in patient safety. 
Our reputation is important for us so you can be sure, you'll never receive faked or low-quality drugs .
 Prompt and discreet shipping directly to your doorstep! Confidentiality is guaranteed.

 http://reciprocityproduce.com

Choosing «CanadianPharmacy», you choose absolute security and confidentiality.

[Zohan 1]

я канешна не знаток - но воля сами далпаё@ы.

зачем рилей?

 

Received: from sc-smtp1-bulkmx.soma.ironport.com (sc-smtp1-bulkmx.soma.ironport.com [204.15.82.123])

by relay1.volia.net (аффтары жгут без ssl?) (8.13.8/8.13.8) with ESMTP

 

имхо вариант закрытия ТОЛЬКО 25 порта для ваших абонов погоды может не сделать.

ибо: есть спам-боты которые не только по смтп рассылают.