奇怪的 CBL 黑名单（cutwail 垃圾邮件机器人？！）

我遇到了一个奇怪的问题，想知道是否有人可以帮助我，因为我真的不知道还能做什么。

我正在为一家 SMB 公司（约 100 台 LAN 计算机）管理一台 Linux 服务器（Fedora 17）。该服务器处理电子邮件（Postfix）、DNS、Web、FTP、SQL 等。

简而言之，问题开始于两天前，当时我注意到我们被列入了 cbl.abuseat.org 的黑名单。我很惊讶，因为我在 8 年多的时间里为许多大中型公司管理过许多服务器，所以我以为自己对电子邮件安全有所了解……显然我错了。

首先，有几个细节：电子邮件服务器的 IP 有一个 PTR（RDNS）记录，我已经配置了 SPF、DomainKeys、DKIM、DMARC、灰名单。LAN 内的所有计算机都阻止了端口 25 和 53（TCP/UDP），并且日志记录已激活。当我检查日志时，什么也没有。LAN 内没有计算机尝试发送电子邮件。但后来我检查了 CBL，他们的消息是这样的：

此 IP 已感染 () cutwail 垃圾邮件机器人。换句话说，它正在参与僵尸网络。我们有两种检测 cutwail 的方法。其中一种方法是检测 cutwail 发送的垃圾邮件。另一种方法不起作用。这意味着，即使您在本地网络上阻止来自非邮件服务器的出站端口 25，我们仍然可以检测到本地网络上的 cutwail 感染。这意味着，如果您实施端口 25 限制，则应实施日志记录，以便您可以检测到哪些内部机器被它阻止，从而可能感染了 cutwail。

所以……让我说清楚：即使受感染的计算机无法发送伪造的电子邮件，我的 IP 仍会被列入黑名单？好吧，一开始我非常生气，但是，由于还有几个公共 IP，我立即将整个 LAN NAT 到一个完全不同的公共 IP 上，只是为了清除第一个 IP，这样我就有更多时间进行调查。正如预期的那样，第二个 IP 在几分钟内就被列入了黑名单，我也将第一个 IP 从黑名单中删除了。假设 88.88.88.88 是第一个 IP，88.88.88.89 是第二个 IP。所以现在我在 iptables 中的 POSTROUTING 看起来像这样：

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.11.0/24 -j SNAT --to-source 88.88.88.89

所以，你会认为第一个 IP（也被列为 MX）现在应该是安全的，对吗？错了……3 小时后，第一个 IP 再次被列出，尽管就像我说的，现在整个 LAN 都通过第二个 IP 进行 NAT。我开始认为服务器已被入侵，但经过彻底检查（tripwire、wireshark、netstat 等），我排除了这种可能性。我还尝试在 12 小时后再次删除 IP，但几个小时后它又重新被列出。哦，我忘了补充一点，我们还扫描了 LAN 内的几台计算机（我们认为可疑的计算机），但我们使用 3 种不同的防病毒软件产品没有发现感染。有人知道是什么原因造成的吗，因为我真的不知道还能尝试什么。谢谢！