Zimbra рассылает спам
Zimbra рассылает спам
Добрый день уважаемые читатели и подписчики блога, спам самая большая головная боль любого почтового администратора, мало того, что он вечно пытается до ставиться вам в клиентские электронные ящики, так еще не дай Бог, будет транслироваться через ваш smtp сервер. Партнеры моей организации обратились ко мне за помощью, с просьбой посмотреть их почтовый сервер Zimbra, он стал медленней работать и письма стали доставляться дольше обычного. Забегая вперед их сервер Zimbra рассылал спам, мы рассмотрим как это узнать и как в будущем избежать.
Борьба со спамом
Кто не в курсе спам это мусорное письмо с очередным рекламным предложением, а в худшем случае это вирусные письма и если ваш сервер стал инструментом в руках злоумышленников, то ваш почтовый сервер Zimbra рискует в ближайшее время попасть во все базы спамерских доменов, этого нам не нужно, так как вытаскивать его потом от туда очень проблематично.
Для того, чтобы определить проблему, зайдите в консоль управления Zimbra сервером. Портом по умолчанию выступает 7071.
На главной странице у вас будет сводка, где можно посмотреть длину очереди, вот пример в 2500, явно идет рассылка.
Переходим в пункт Монитор > Почтовые очереди. У вас будет статистика по:
- Адресу отправителя > я сразу увидел левый электронный ящик, у него подменен домен на info@myemail.com
- Вижу домен отправителя, тоже не мой
- И самое главное ip адрес откуда подключился злодей, его мы блокируем сразу в iptables.
Так как у меня установлен CentOS 7, то сразу выполняем команду блокирующая найденный ip адрес:
Посмотреть изменения можно командой iptables -L, удалить правило ключ -D. Все Ip заблокировали, теперь нужно понять через какую учетную запись шла рассылка. Для этого открываем в консоли путь var/log и находим файл maillog. Лично я больше предпочитаю протокол sftp, я по нему подключаюсь с помощью утилиты WinSCP 5.
У себя я нашел вот такие строки client=unknown[185.112.248.66], sasl_method=LOGIN, sasl_username=sales@домен, то что нужно вот этот взломанный ящик sales@домен.
Идем в Управление > Учетные записи и отключаем нужную, либо меняем пароль.
Чтобы в будущем этого избежать нужно настроить и выработать, политику стойких паролей, минимум из 15 символов. Еще в Zimbra почтовом сервере есть возможность отправить письмо и в поле отправителя подставить любой адрес, сами понимаете это не хорошо. Исправляется это просто редактируем файл main.cf.
и в /etc/postfix/smtpd_sender_login_maps
user@mydomain.ru user@mailserver
Так же, советую почитать как улучшить качество доставки почты и обязательно проверьте, чтобы у вас стояла проверка подлинности при авторизации на электронный ящик и ограничен список ip адресов с которых идет рассылка.
Для этого идете в настройка > Глобальная настройка > Агент передачи сообщений. Убедитесь, что стоит галка Включить проверку подлинности.
И ниже укажите доверенные сети агента передачи сообщений.
Вот такие действия помогут вам найти спамеров и защитить свой сервер Zimbra от рассылки спама.
Как же ваша статья, оказалась кстати