Поди как прокси-сервер используют, без отправки через ваши системы.

Вы вы про этот параметр? - https://skr.sh/sA5sPLV0YJY?a Если нет, то как проверить, прикрыть?

Я про то, что сам сервер могли взломать, и используют его как прокси-сервер, подключаясь к почтовым MX напрямую, никак не используя Zimbra, раз вы не видите отправку почты через почтовые демоны.

И если это так, то что можно предпринять?

Опять поперло, это ужас какой-то https://skr.sh/sA5HA2E6mPz?a.

Если вы задаёте такие вопросы на форуме, вам следует нанять профессионала в Linux и расследовании инцидентов.

Началь можно хотя бы с отслеживания трафика через tcpdump, затем, если он действительно исходит с этой машины, отследить процесс, который его генерирует (скажем, через ss), далее действовать по обстоятельствам.

Вы лично можете мне помочь?

В очереди явно что-то лежит. Там у Зимбры MTA Postfix кажется? Вот надо посмотреть попробовать заголовки сообщений. Вероятно, что источник спама - зараженный компьютер пользователя внутри сети. Это, думается, более вероятно, чем взлом именно сервера.

Да постфикс. Спам даже бывает когда все ПК выключены в офисе.

Я вам уже написал, с чего нужно начать. Что-то конкретно непонятно?

Да постфикс. Спам даже бывает когда все ПК выключены в офисе.

Так может это уже накопленное в очереди улетает. В общем, проще всего начинать с заголовков сообщений, а там уже дальше tcpdump, ss и т.п., если по заголовкам не будет понятно. А, ну и логи Постфикса посмотреть конечно, там будет, откуда он сообщения в очередь получает.

tpcdump port 25 -тихо, много трафика по 993. Если просто запустить tcpdump для меня это «каша», уж простите, поэтому и спрашиваю грамотный аудит.

Хорошо поищу. Но для меня это новый опыт, я готов учиться, но уже неделю ума не дам, как это побороть. А люди не могут заказчикам письма отправить. Вот может кто-то из Вас мне сможет помочь. Подключиться. В долгу не останусь.

Видимо, мы друг друга не поняли. Вам, вместо помощи, нужно решить проблему. Я могу посмотреть, конечно, из лучших побуждений, но вообще таким не занимаюсь. Пишите на iam@valdikss.org.ru.

Аудит сервера… Давайте пока сделаем вид, что этого не было.

Вот может кто-то из Вас мне сможет помочь.

У меня выходные заняты, и спать пора по этому случаю. А так наверное мог бы. Если к понедельнику понимание не наступит, можно попробовать глянуть.

Белый ip-адрес назначен серверу или там что-то nat'ит/релеит почту?

Если белый ip на сервере, то какие порты открыты наружу?

tcpdump'ом для начала нужно смотреть внешний трафик сервера. Если там нет писем, значит и спама нет.

Не помню, есть ли у зимбры логи, но так постфикс про всё записывает в лог. Для начала посмотрите, есть ли спам письма в логах. Как я понимаю, у вас небольшая организация и можно как-то определить «хорошие» адреса, на которые ваши сотрудики шлют письма. То есть если вы найдёте файл с логами и там будут только хорошие письма, значит зимбра вобще не при чём.

А очередь постфикса грохали когда все компы выключены. Может почтовик очередь отрабатывает он должен это делать.

Белый IP. Сервер находится за NAT. Открыты 25ый, 465, 587, 993, 995. Если спама нет, откуда тогда такие пики на графиках? В логах поковыряюсь.

Грохал почту, там в админке то очередь несколько писем, не то что в мониторе показывает.

У вас случаем на этом сервере шлюз или прокси не присутствует?

Шлюз и прокси отсутствуют, на сколько я вижу. А как можно точно в этом убедиться?

ну чес слово незнаю

netstat
route -n
iptables -L
tcpdump -i интерфейс > aaa.txt

Оки, поищу.

tcpdump -i etho Нашел вот это https://skr.sh/sA6dNMmXwja?a Чтобы это могло значить? netstat, route -n и iptables -L на первый взгляд ничего необычного.

В принципе вам уже всё написали.
1. Смотрите логи постфикса.
2. Далее или вы сами устроили openrelay или юзвер[ы] виря словили.

1. Ищем
2. Open relay закрыт 100%. Юзверей всех просканил вчера в офисе и закрыл 25 порт из сети для все ПК, кроме сервера.

Если на машине есть служба VPN сервер, то могут через нее спамить, получив учетные данные для подключения (ну, украв их у юзеров).

VPN сервер имеется, но на другой машине, в той же подсети.

любой зараженный комп, находящийся в локалке офиса , выходя в инет куда-то на 25 порт, будет делать это через ваш роутер, те в вашего паблик айпи, на котором весит ваш почтовый сервер. и никакие tcpdump на почтовике в этом случае ничего не покажут.

запретите всем наружу 25 порт ( те исходящий трафик по 25 tcp порту), кроме почтовика и посмотрите , перестанет ли идти спам.

Проще

service stop zimbra

и наблюдать tcpdump -i локалка > fff.log какая свол.. долбит почтовик из локалки.

Хитро, поищем

Плюсую этого хабаровчанина.

Больше похоже на зараженный ПК в локалке.

и наблюдать tcpdump -i локалки

сорри, но ка я написал, это не поможет, машина может не обращаться к почтовику, а слать сразу в инет

сделай как написал я , зараженная машина может не обращаться к почтовику, откуда ей вообще знать локальный айпи почтовика. она спамит напрумую через роутер.

Никто из написавших это не учитывает.

Нашел лишь такие обращения 17:25:34.517967 IP 172.16.10.13.hexarc > mail.xxxx.ru.ssh: Flags [.], ack 976, win 514, length 0 25 порт закрыл всем ПК изнутри сети, оставил лишь для сервера, не помогло.

Плюсую этого хабаровчанина.

Хабровчанина, бестолочь ))))

Владимир

Уважаемые, давайте посерьезнее, спам идет, проблема не решена.

https://ru.wiktionary.org/wiki/хабаровчанин

По сабжу какие еще службы имеют выход в Сеть?

Пальцем в небо, memcached Zimbra слушает public ip или локалхост?

ок, если я ошибся, то я готов посмотреть бесплатно. У меня отпуск. только я зимбу никогда не держал и не буду.Но там все равно postfix и кейс мне интересен.

Большое Спасибо

Благодарю ValdikSS за помощь. Все решилось.

• Видимо была еще утечка паролей.

Видимо была еще утечка паролей.
Видимо

Успехов.

Утечка паролей ОС или все же Зимбры?

«…видимо, что-то случилось… или произошло…»

И того и другого

Что характерно, аниме-девочки решают.

так в чем проблема была?

Он же говорит - в утечке паролей ОС и Зимбры.

Сперли! :)