Откуда берется исходящий трафик -ipchains output DENY.

А что, если проверить всех юзерей на предмет троянеца, или (тьфу-тьфу) вирусяки вредной?..

Дело в том, что у всех юзеров shell=/bin/false, и на машине кроме
почтового сервера и pop3d-демона больше ничего не стоит,
и как рабочая станция эта машина не используется, в общем,
относительно троянцев и вирусов не должно быть подозрений.
Кроме этих причин, не может быть другого объяснения?

Не, ты не понял. На клиентской (очевидно, виндозной) машине засел троян. И шлет через почтовый сервер приветы создателю.

Да, чуть не забыл. Попробуй посмотреть в /var/log/maillog на эту тему заметки.

Я всегда очень внимательно проверяю в таких случаях maillog. И никакого упоминания об этом адресе в нем не бывает. Вообще исходящий трафик на запрещенные на вход адреса появляется не чаще 1 раза в месяц, но он появляется! Я его обнаруживаю в messages и еще каждые 10 минут снимаю статистику по netstat, и my_address:xxxx bad_address:25 SYN_SENT в такие периоды всегда есть. Я как-то уже спрашивала об этом, правда, на другом форуме, мне ответили, это loopback. Но, чтобы с пакетом случился этот loopback, ведь он для начала должен войти, а ipchains то на страже! Неужели он все-таки пропускает иногда пакеты? Кстати, предпоследний раз output DENY был на приватный адрес 172.20.0.3:25.

ты показала бы конкретные правила для input и output...

а вообще, вот тебе совет:
напиши скрпит, который при возникновении такой ситуации
сделает netstat -tnp (или сама руками сделай).
самое главное здесь -- ключ 't'
еще есть lsof (man поможет)

все это позволит разобраться, какой процесс работает по этому
сокету и сделать выводы

удачи!

--
Igor Podlesny
http://poige.nm.ru

ну вообще то не -t
а -p :)

--
Igor Podlesny
http://poige.nm.ru