Пришли сёдня на работу смотрим, трафик большой, за пятницу, а главное за суботу, когда выходной и нет никого, почуяв неладное, полезли в ИСУ смотреть логи, и правда, смотрим один IP не наш. А с него трафик идёт жуткий. Смотри Мыльную статистику, та же фигня, только рассылка идёт и по сей момент. Лучшего способа чем стопорнуть имейл сервер мы не нашли. что интересно, почему ИСА их пустила? Почему керио раотал на пам спокойно занося его в графу спам? И почему я не могу выловиь ничего, нортоном вообще пишет что всё чисто, а Spybot выловил что то маленькое и безобидное. Они каким то образом прицепились к серваку и там сидят. Чего делать то? Где дыру искать? Главно если по айпишнику то....
Taiwan Fixed Network CO.,LTD. и далее имена и фамилии, в стиле чо юнь, сунь в чунь итд..

1) Закрыть доступ с этих IP на ISA
2) Сделать возможность посылать почту, только после авторизации SMTP, в настройках KMS
3) Занести IP в список IP спамеров в KMS и соответственно его настроить.

1, сделано было сразу пообнаружении
2. Сделано было при установке.
3. в процессе

Так. Дыру залатали. теперь другой вопрос. как вугрузить из очереди их сообщения? При входе в список керио виснет... Из-за количества видимо

Вырубить KMS и вручную почистить очередь. Ищи в KERIO\MailServer\store\queue или где-то еще. Не помню точно.

2133 угу, я тоже об этом подумал, отчистил уже. а пост тока щас увидел просто я в логах сеъюрити вижу попытки слать почту на ражные адреса, правда статус теперь пиет реджектед но всё же, откуда? Главное не пойму я где оно прописалось то лист рассылки.. в исе их диапазон IP я блокировал, а KMS они всё равно пытаются слать, не пойму откуда главное

Да пускай хоть упробутся. Главное без авторизации, если тебе аккаунт или сам сервак не сломают, они ничего не пошлют.

PS: А может у тебя внутри кто-то виря или трояна подхватил, вот и рассылает?

2133 Хз, систему просканили вроде чисто, не будешь же по всем 100 компам бегать и искать. сервак и все свои компы проверили, чисто