今天早上我们来到办公室(30 多个联网系统),发现我们的电子邮件服务器在 CBL 上被列入了黑名单,原因如下:
此 IP 地址已感染 ZeroAccess 僵尸网络(也称为 Sirefef),或正在为感染该网络的机器进行 NAT。更多信息可从以下网址获取维基百科。它最常用于比特币挖掘或点击欺诈,但由于它包含下载器部分,因此它可以做任何事情。
我和另一位开发人员倾向于相信 Spamhaus 等组织的说法,认为我们的某个地方感染了病毒。我们的网络管理员更倾向于认为病毒是我们的 Web 服务器 (AWS),它通过我们的内部电子邮件服务器向客户发送收据。邮件服务器充当中继,但只允许内部连接或来自我们 Web 服务器的 IP 的连接。
诸如 CBL 之类的列表的误报率是多少,感染警报是否可以被非常通用的收据所接收?
答案1
我经常根据 CBL 列表处理支持案例。我从未见过误报。如果 CBL 认为您的 IP 背后有东西被感染了,那么他们很可能是对的。
请记住,CBL 列表不一定是由通过您的邮件服务器发送的垃圾邮件引起的。从受感染的笔记本电脑到 CBL 主机的任何类型的使用不同协议/端口的机器人连接都可能触发列表。因此,建议为您的邮件服务器使用专用 IP。
仔细阅读 CBL 上的完整解释页面,它们通常会提供一些关于在防火墙日志中查找什么的信息。等等。