хотя бы как отследить с какой тачки идут спам?
вирус спамит по smtp?

Исправлено iDrum (11.12.06 13:13)

я делал примерно так
ставишь у себя почтовик с clamav (антивирусник), можно с любым другим
так же можно в несильно жеской форме спамасассин
так же можно поставить лимит на количество отправляемых писем в минуту например (правда сам не делал именно такое)

далее, файрволишь на форвард 25-й порт
а юзерам говоришь сервер исходящей посты пусть твой роутер указывают
вирусня обычно сама лезет на различные 25-е порты, поэтому она просто не пройдет через роутер
если вирусня вугребет из почтовой програмки адрес твоего SMTP, то есть вероятность что письма будет прибивать clamav, spamasassin иил лимит на отправку

можно еще завести юзеров на сервере для почты, и отправку только после аутентификации разрешать

так вот если:
iptables -I FORWARD -p tcp --dport 25 -j DROP
iptables -I FORWARD -p tcp -d mail.site.ru --dport 25 -j ACCEPT

Matrim, угу, понил, поменял

Исправлено iDrum (12.12.06 09:53)

iDrum написал(а):

Matrim, угу, понил, поменял

вообще если это команды, то порядок был правильный
т.е. accept для конкретного адреса вставился бы перед reject

т.е. если -I, тогда нужно drop, accept
а если -A, тогда accept, drop

-A FORWARD -s твоя_подсеть/24 -p tcp -m tcp --dport 25 -m state --state NEW -m recent --update --seconds 60 --hitcount 5  -j REJECT --reject-with icmp-port-unreachable

примерно так вроде если не попутал -)
если больше 5 новых попыток оправки в минуту(явно вирус), то адрес идет лесом....как тока вирус вылечен через минуту опять может отправлять....
могеш себе еще скриптец примотать который каунтеры смотрит и на почту тебе сигналит

поставь на компах клиентов McAfee и все... там идет блокировка процессов, которые не указаны в белом списке при обращении на определенный порт...