Problema de salida de correos

[este_cr]

Bueno primero queria pedir disculpas en caso que este post debiera haberse echo en otro tema.

Bueno mi inquietud es la siguiente, entre a trabajar hace unas 3 semanas en una empresa, en la misma trabajan con el FortiGate 100A, las personas encargadas de administrarlo tienen sus oficinas fuera del pais.
Hace unos dias atras, se presento un problema de envio de salida de correos (entraban sin pproblemas), esto esta pasando todos los dias casi a la misma hora.
Se pide una explicacion a las personas encargadas para solucionar el problema, ellos dicen que el motivo es que una de las cuentas de correo esta enviando spam o correo masivo, lo cual hace que el puerto de salida se bloquee y asi mismo nadie pueda enviar. Ellos dicen que la razon es un virus troyano que afecta una de las computadoras y produce estos envios.
Por solicitud mia, les pregunte cual es el correo que produce estos envios, para atacar la misma directamente, sacarla de la red y limpiarla, ya que son mas de 60 cuentas de correo, pero ellos me responden que les es imposible saber cual es y que tenemos que revisar todos los antivirus de todas las computadoras.
Para lo mismo se compraron licencias de antivirus nuevas, se hizo un trabajo muy largo para instalar, actualizar y escanear todas las computadoras, si se detectaron virus en varias, pero se limpiaron y el problema continuo.
La solucion que encontramos fue buscar otro dominio de salida de correos y la persona que lo monitorea no a detectado nminguna anomalia con este, no se han bloqueado ni se a mandado spam, en otras palabras todo funciona perfectamente.

Mis dudas son: es realmente posible que ellos no puedan ver en sus reportes que correo produjo estos envios y si despues de toda la solucion que se dio cuando usamos el dominio de salida que nos dio problemas aun continua fallando y el otro no, cual puede ser el motivo del mismo.

Espero su ayuda y disculpen las faltas de ortografia y mala redaccion, pero ando en carreras.


Saludos

[gabyrossi]

Hola, como estas? A ver, aclaremos algo:

Si la lan de servidores o dmz donde tenes el server de correo esta junto a las pc, desde el fortigate no podras ver quien envia esos correos, ya que ese trafico desde la pc hacia el server no pasa por el fortigate, porque etsa en la misma lan.
Esto si es que la pc envia spam a traves del server de correo de ustedes. Si esta pc infectada tuviera su propio servidorsito de correo o usara alguno externo, si podrias verlo pasar por el fortigate hacia internet, salvo que tengas una politica de firewall denegando el el trafico smtp a internet y solo activo para que envie el server tuyo interno.Si pasa esto, tendrias que revisar el server de correo, ver sesiones activas y revisar los log en el server de correo.

Si el server de correo estuviera en otra interface separa de tu lan, ya sea en una dmz o en otro puerto (con otra red) si podrias verlo ya que pasa a traves del fortigete en el trafico entre interfaces.

Se entendio?? esto era lo que quieras saber?

saludos y suerte