LINUX.ORG.RU
ФорумAdmin

SPAM из несуществующих ящиков ./zimbra

 ,


1

2

(zimbra 8.8.11) Всем привет, вообщем дело такое. Случайно обратил внимание на спулер, и увидил там более 3к писем в отложенных.С моего домена, с не существующих адресов куда-то там в даль… SMTP сервер работает только по авторизации, проверял релей, закрыт. Очередь растёт стабильно по письма 2 в минуту :/ IP адреса источников почти все разные но, домен мой. Определённо спам. Но что делать хз. Подскажите пожалуйста, куда копать.

Ответ на: комментарий от Deleted

собственно нашел аккаунт, за линк спасибо! cat /var/log/zimbra.log | sed -n ‘s/.*sasl_username=//p’ | sort | uniq -c | sort -nr решило все вопросы

localjero
() автор топика
Ответ на: комментарий от localjero

Характерный признак утечки пароля спамерам - подключение с разных стран (geoip в помощь) в течении короткого интервала времени.

Менять пароль сразу не нужно, нужно запретить отправлять письма с этого аккаунта, а ip-адреса всех кто коннектиться с использованием этого логина автоматом в бан.

vel ★★★★★
()

Дядь, у меня для тебя новость есть. Поле «от» в письме - это просто произвольный текст. Может быть любым. А тебя просто ломанули. Ищи процесс.

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

Так себе новость, я обязательно буду следить дальше, а так же, добавлю добавлю пару метрик в заббикс на спулер. Аккаунт с которого все это шло найден, спам остановился, очередь = 0.

localjero
() автор топика
Ответ на: комментарий от localjero

Через PolicyD ограничить кол-во отправляемых писем.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin