meta data de esta página
¡Esta es una revisión vieja del documento!
Problemas con el Spam
Para ver cuentas comprometidas
como root
cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nr
También podemos usar
cat /var/log/zimbra.log | grep failurepara buscar intentos de autentificación erróneos
Para ver problemas de autentificación hay que mirar el log /opt/zimbra/log/audit.log
Para ver las ips desde las que están lanzando los intentos de validación
tail -f /var/log/maillog | grep warning
En https://www.abuseipdb.com/ podemos comprobar si dicha ip ya se ha notificado o notificarla nosotros como sospechosa
Mover los mensajes a la cola retenidos
Si tenemos muchos mensajes de spam en nuestro servidor deberíamos de moverlos a la cola retenidos para posteriormente analizarlos. Como root vamos a cada cola y los movemos a la cola hold
cd /opt/zimbra/data/postfix/spool/active mv * ../hold
cd /opt/zimbra/data/postfix/spool/defer #defer has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done
cd /opt/zimbra/data/postfix/spool/deferred #deferred has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done
cd /opt/zimbra/data/postfix/spool/incoming mv * ../hold
Una vez que hemos pasado todos los mensajes a la carpeta hold pasamos a verificar dentro de la carpeta los que tienen como ip origen el equipo atacante y en mi caso los elimino directamente
cd /opt/zimbra/data/postfix/spool/hold
grep -l 185.236.203.159 * | xargs -I{} rm {}
si son muchos mensajes no podras usar *, tendras que acortar la búsqueda para que no te de error por ejemplo usando A34* en vez de * para analizar sólo los mensajes que empiezan por ese prefijo