quarta-feira, 5 de fevereiro de 2014

Identificando envio de SPAM no Zimbra.


Identificando envio de SPAM no Zimbra.

Você já deve ter se deparado com isso.

De uma hora para outra seu servidor enviar e-mails absurdamente para rua. Claro, isso só acontece por que alguém passou o login e senha do seu MTA para algum hacker (claro, acredito que sem querer).

Para identificar o problema:

# cd /var/log

# grep client= mail.info|cut -d: -f5|sort| uniq -c|sort -n|grep sasl_method=LOGIN

A saída será assim:

    994  client=unknown[192.168.XXX.30], sasl_method=LOGIN, sasl_username=sac.yyy
   2531  client=unknown[192.168.XXX.23], sasl_method=LOGIN, sasl_username=xxx
  15759  client=unknown[198.XXX.XXX.31], sasl_method=LOGIN, sasl_username=fulano

Note que o usuário "fulano" logou 15.759 vezes utilizando um IP externo.

Solução 1 - altere a senha do usuário fulano.
Solução 2 - bloqueie o source no Firewall

Acredito que com este procedimento solucione o problema.