log firewall

[pixus]

Buongiorno a tutti,
vi scrivo perchè avrei bisogno della vostra esperienza e dei vostri consigli.

da ieri nella rete aziendale in cui lavoro l'ip pubblico finisce in blacklist per l'invio delle email.

Avendo per contratto più ip pubblici, in attesa di risolvere il problema cambio l'ip con cui usciamo, così nel frattempo le email possono riprendere a viaggiare.

Ho iniziato ad esaminare i log del firewall, e sono emerse 2 cose:
- da un paio di giorni un determinato ip della rete interna ha quotidianamente circa 50 pacchetti inviati alla porta 25 (SMTP). Può essere quell'indirizzo la causa in cui risiede il problema?

-stanotte vengono segnalate una serie di connessioni in ingresso dal router connesso all'esterno verso il firewall e porta di sorgente sempre diversa, dalla 2000 alla 3600 circa...
Può essere quest'ultimo sintomo di un virus?

Come posso agire?
Grazie

[Habanero]

La macchina interna manda pacchetti sulla porta 25 di quale server? Il blocco per spam può sicuramente avvenire a causa di una macchina infetta. Se hai dei sospetti ti conviene toglierti il dubbio tramite una scansione mirata.

Il secondo punto invece non l'ho capito. In ingresso dal router? cioè? lato internet?

[pixus]

Per la seconda, arrivano connessioni dall'IP del router adsl, da molte porte diverse, verso il firewall (macchina linux).

Ho provato a lanciare scansioni Malware Bytes e Security Essentials nel pc il cui IP era riportato come inviante le email, ma l'ip poi è ritornato in blacklist.
Abbiamo acquistato un smtp autenticato, quindi da domani con le nuove credenziali dovremo evitare di finire in blacklist, però comunque l'infezione rimarrebbe...