Sophos INDICATOR-COMPROMISE Подозрительный запрос.win dns

Каким-то образом брандмауэр начал генерировать следующие ips для двух очень распространенных почтовых компаний.

Предупреждение о вторжении

Вторжение было обнаружено. Пакет был отброшен автоматически. Вы можете переключать это правило между "отбрасывать" и "только предупреждение" в WebAdmin.

Подробная информация о предупреждении вторжения:

Message........: INDICATOR-COMPROMISE Suspicious .win dns query
Details........: https://www.snort.org/search?query=44077
Time...........: 2019-05-26 12:00:37
Packet dropped.: yes
Priority.......: low
Classification.: Misc activity
IP protocol....: 17 (UDP)

IP-адрес источника: ВНУТРЕННИЙ ПОЧТОВЫЙ СЕРВЕР Порт источника: 53472 IP-адрес назначения: 193.5.23.1 (anyres1.ip-plus.net) Порт назначения: 53 (домен)

Хотелось бы узнать, что означает запрос.win dns и почему только что начал происходить?

Спасибо