Servidor Zimbra comprometido - como investigar

Question

Servidor Zimbra comprometido - como investigar

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Temos um servidor de e-mail zimbra e uma das contas de e-mail foi comprometida. O problema que temos agora é que muitos spams são enviados daquele servidor e não conseguimos identificar qual conta está comprometida.

No mailq só podemos ver o do email, mas este é um endereço de email falso.

Existe uma maneira de identificar o verdadeiro usuário de autenticação que está enviando esses e-mails?

authentication postfix zimbra email-server email-bounces

por Milos 25.04.2018 / 10:12

2 respostas

0

Por favor, use este comando para obter detalhes da conta de compromisso

cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n

por 13.11.2018 / 09:35

Tags authentication postfix zimbra email-server email-bounces

HA do Corosync impedindo o cenário de cérebro dividido Cluster de Failover SQL para o site de DR usando replicação

score 1 · Accepted Answer

Você pode enviar logs para remetentes como

grep sasl_username /var/log/maillog

ou use este script para mostrar estatísticas agregadas

#!/usr/bin/python2
from __future__ import print_function

import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')

senders = {}

for line in open('/var/log/maillog'):
    m = re_sasl.search(line.strip())
    if m:
        username = m.group(1)
        if username in senders:
            senders[username] += 1
        else:
            senders[username] = 1

print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
    print("\t{0:5d} {1}".format(count, username))