meta data de esta página
Problemas con el Spam
Para ver cuentas comprometidas
como root
cat /var/log/zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -nr
También podemos usar
cat /var/log/zimbra.log | grep failurepara buscar intentos de autentificación erróneos
Para ver problemas de autentificación hay que mirar el log /opt/zimbra/log/audit.log
Para ver las ips desde las que están lanzando los intentos de validación
tail -f /var/log/maillog | grep warning
Mover los mensajes a la cola retenidos
Si tenemos muchos mensajes de spam en nuestro servidor deberíamos de moverlos a la cola retenidos para posteriormente analizarlos. Como root vamos a cada cola y los movemos a la cola hold
cd /opt/zimbra/data/postfix/spool/active mv * ../hold
cd /opt/zimbra/data/postfix/spool/defer #defer has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done
cd /opt/zimbra/data/postfix/spool/deferred #deferred has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done
cd /opt/zimbra/data/postfix/spool/incoming mv * ../hold
Una vez que hemos pasado todos los mensajes a la carpeta hold pasamos a verificar dentro de la carpeta los que tienen como ip origen el equipo atacante y en mi caso los elimino directamente
cd /opt/zimbra/data/postfix/spool/hold
grep -l 185.236.203.159 * | xargs -I{} rm {}
Reputación
https://jejo.es/posts/servidores/reputacion_servidor_correo/
Para evitar el spam además de asegurar nuestro servidor de correos debemos de configurar lo siguiente:
- Crear una Firma DKIM válida
- Verificacion DMARC
- Certificados ssl validados por una autoridad de certificacion, tipo Let´s Encrypt (https://letsencrypt.org/es/)
- Comprobar que no estamos en una Lista Negra. Si es asi hay que solicitar el desbloqueo
- Superar SPF (Sender Policy Framework)
Para comprobar la reputación de nuestro servidor de correos podemos usar: