Господа, позвольте продолжить разбор темы спама :)С постфиксом разобрался, там все норм. Дело вот в чем: начал опять попадать в спамлист cbl.abuseat.org. Ребята из junkemailfilter.com прислали мне экземпляр спама который рассылается с моего хоста:
Received: from <мой_хост> ([мой_ip])
by pascal.junkemailfilter.com with smtp (Exim 4.72)
id 1P2nMJ-0005et-Pj on interface=65.49.42.60
for otherwise@netfunny.com; Mon, 04 Oct 2010 08:53:48 -0700
From: otherwise@netfunny.com
To: otherwise@netfunny.com
Subject: otherwise@netfunny.com V|AGRA � Official Site -74%
Конечно это спам. Но! В логах постфикса этих писем нету! Следовательно спам рассылает кто-то из локальной сети (да, этот же хост еще и шлюз локалки + кеширующий DNS). Все-бы ничего, но 25 порт закрыт всем! Без исключений! А спам продолжает просачиваться. Чего я уже только не придумывал:
05030 2974332 142779893 deny tcp from any to any dst-port 25,465
05033 0 0 deny udp from any to any dst-port 25
05035 0 0 deny ip from any to any dst-port 25
После этих долгих изысканий я обратил внимание на одну штуку: наблюдая за отчетами cbl.abuseat.org и проводя параллели я заметил, что в момент просачивания спама у меня в сети активизируется сильно завирусованый юзер. А именно я наблюдаю дикую активность DNS-запросов (вся локаль в часы пик генерирует около 1500 запросов за 5 мин, а он сам до 8000). И тут я вспомнил про IP-over-DNS.. Возможно-ли такое? Гугление на эту со спамом результата не принесло. Очень похоже это тем что пролазит очень немного писем, буквально 2-3. Но даже их хватает чтобы мой хост заблеклистили..