второй раз уже попал в cbl.
первый раз где то месяц назад и на той неделе повторно.
в общем сталкиваюсь с этой херней первый раз и чо думаю:
есть у меня значит эксчейндж, веб сервер (iis 7.5 джумла) и куча компов с доступом в инет по 80 порту.
значит эксчейндж глянул, что отправляли за последний месяц:
Get-MessageTrackingLog -EventId SEND -Start "12/01/2016 08:00:00" | select *,{$_.Recipients} | Export-Csv C:\nggtilog\sel3.csv -Encoding "Unicode"
правила файрвола перепроверил, действительно у всех 80 порт, но есть список исключений для фул доступа, по ним буду работать отдельно в каждом конкретном случае
меня гложит такая проблема, у сайта (админю не я) есть возможность отправки писем силами самой джумлы, ну там модуль какой то. так вот, по идее могли же ломануть сайт (как я понял джумла не особо свежая стоит) и с него отправить какого нить спама?
а если так, то в какие логи веб сервера стоит глянуть? сам я его трогать не хочу, будем совместно с админом сайта этого ковырять. на вирусню сайт проверили - говорит что все норм.
в общем понимаю что тут поток сознания, но блин первый раз с такой херней сталкиваюсь, и что то даже не знаю куда копать.
к слову файрвол стоит kerio control, копаю сейчас его логи.