Smtp

CBL的假陽性率

  • September 27, 2014

今天早上我們來到辦公室(30 多個聯網系統)發現我們的電子郵件伺服器在 CBL 上被列入黑名單:

此 IP 地址已感染或正在對感染了 ZeroAccess 殭屍網路(也稱為 Sirefef)的電腦進行 NAT。更多資訊可以從Wikipedia中找到。它最常用於比特幣探勘或點擊欺詐,但由於它包含下載器部分,它可以做任何事情。

另一位開發人員和我傾向於相信 Spamhaus 等組織所說的話,並相信我們在某處感染了病毒。我們的網路管理員更傾向於將它作為我們的網路伺服器 (AWS),它通過我們的內部電子郵件伺服器向客戶發送收據。郵件伺服器充當中繼,但僅允許內部連接或來自我們網路伺服器的 IP 的連接。

諸如 CBL 之類的列表對於誤報的比率是多少,感染警報是否可以被非常通用的收據接收?

由於 CBL 列表,我經常處理支持案例。我從未見過誤報。如果 CBL 認為您的 IP 背後的某些東西被感染了,他們很可能是對的。

請記住,CBL 列表不一定是由通過您的郵件伺服器發送的垃圾郵件引起的。從受感染的筆記型電腦到 CBL 主機使用不同協議/埠的任何類型的機器人連接都可以觸發列表。因此,建議為您的郵件伺服器使用專用 IP。

仔細閱讀 CBL 上的完整說明頁面,它們通常會提供一些有關在防火牆日誌中查找內容的資訊。等等

引用自:https://serverfault.com/questions/545838