Identificando envio de SPAM no Zimbra.
Você já deve ter se deparado com isso.
De uma hora para outra seu servidor enviar e-mails absurdamente para rua. Claro, isso só acontece por que alguém passou o login e senha do seu MTA para algum hacker (claro, acredito que sem querer).
Para identificar o problema:
# cd /var/log
# grep client= mail.info|cut -d: -f5|sort| uniq -c|sort -n|grep sasl_method=LOGIN
A saída será assim:
994 client=unknown[192.168.XXX.30], sasl_method=LOGIN, sasl_username=sac.yyy
2531 client=unknown[192.168.XXX.23], sasl_method=LOGIN, sasl_username=xxx
15759 client=unknown[198.XXX.XXX.31], sasl_method=LOGIN, sasl_username=fulano
Note que o usuário "fulano" logou 15.759 vezes utilizando um IP externo.
Solução 1 - altere a senha do usuário fulano.
Solução 2 - bloqueie o source no Firewall
Acredito que com este procedimento solucione o problema.
