Исправление AS, (текущая версия) :
У него адрес (пример) 192.168.1.200. Шлюз с NAT - это у нас микротик. На нём проброшены почтовые порты на адрес 192.168.1.200. То есть почта приходит на mail.example.com - наш белый IP
Ага. То есть внешний IP на Микротике, с него проброс на почтовик и через него же ходит народ в сеть. Так? Тогда это то, что я и имел ввиду, только в ином виде. Значит у юзеров зараза, они и шлют этот спам с левыми helo. А выглядит как будто почтовик, раз IP один и тот же.
Правильный путь, конечно, заразу отловить, но можно и на Микротике закрыть исходящий трафик по 25 порту, кроме как с почтовика. И 587 тоже, хотя его зараза вроде не использует.
Исправление AS, :
У него адрес (пример) 192.168.1.200. Шлюз с NAT - это у нас микротик. На нём проброшены почтовые порты на адрес 192.168.1.200. То есть почта приходит на mail.example.com - наш белый IP
Ага. То есть внешний IP на Микротике, с него проброс на почтовик и через него же ходит народ в сеть. Так? Тогда это то, что я и имел ввиду, только в ином виде. Значит у юзеров зараза, они и шлют этот спам с левыми helo. А выглядит как будто почтовик, раз IP один и тот же.
Исходная версия AS, :
У него адрес (пример) 192.168.1.200. Шлюз с NAT - это у нас микротик. На нём проброшены почтовые порты на адрес 192.168.1.200. То есть почта приходит на mail.example.com - наш белый IP
Ага. То есть внешний IP на Микротике, с него проброс на почтовик и через него же ходит народ в сеть. Это то, что я и имел ввиду, только в ином виде. Значит у юзеров зараза, они и шлют этот спам с левыми helo. А выглядит как будто почтовик, раз IP один и тот же.