Добрый день уважаемые читатели и подписчики блога, спам самая большая головная боль любого почтового администратора, мало того, что он вечно пытается до ставиться вам в клиентские электронные ящики, так еще не дай Бог, будет транслироваться через ваш smtp сервер. Партнеры моей организации обратились ко мне за помощью, с просьбой посмотреть их почтовый сервер Zimbra, он стал медленней работать и письма стали доставляться дольше обычного. Забегая вперед их сервер Zimbra рассылал спам, мы рассмотрим как это узнать и как в будущем избежать.

Борьба со спамом

Кто не в курсе спам это мусорное письмо с очередным рекламным предложением, а в худшем случае это вирусные письма и если ваш сервер стал инструментом в руках злоумышленников, то ваш почтовый сервер Zimbra рискует в ближайшее время попасть во все базы спамерских доменов, этого нам не нужно, так как вытаскивать его потом от туда очень проблематично.

Для того, чтобы определить проблему, зайдите в консоль управления Zimbra сервером. Портом по умолчанию выступает 7071.

На главной странице у вас будет сводка, где можно посмотреть длину очереди, вот пример в 2500, явно идет рассылка.

Переходим в пункт Монитор > Почтовые очереди. У вас будет статистика по:

• Адресу отправителя > я сразу увидел левый электронный ящик, у него подменен домен на info@myemail.com
• Вижу домен отправителя, тоже не мой
• И самое главное ip адрес откуда подключился злодей, его мы блокируем сразу в iptables.

Так как у меня установлен CentOS 7, то сразу выполняем команду блокирующая найденный ip адрес:

Посмотреть изменения можно командой iptables -L, удалить правило ключ -D. Все Ip заблокировали, теперь нужно понять через какую учетную запись шла рассылка. Для этого открываем в консоли путь var/log и находим файл maillog. Лично я больше предпочитаю протокол sftp, я по нему подключаюсь с помощью утилиты WinSCP 5.

У себя я нашел вот такие строки client=unknown[185.112.248.66], sasl_method=LOGIN, sasl_username=sales@домен, то что нужно вот этот взломанный ящик sales@домен.

Идем в Управление > Учетные записи и отключаем нужную, либо меняем пароль.

Чтобы в будущем этого избежать нужно настроить и выработать, политику стойких паролей, минимум из 15 символов. Еще в Zimbra почтовом сервере есть возможность отправить письмо и в поле отправителя подставить любой адрес, сами понимаете это не хорошо.  Исправляется это просто редактируем файл main.cf.

Так же, советую почитать как улучшить качество доставки почты и обязательно проверьте, чтобы у вас стояла проверка подлинности при авторизации на электронный ящик и ограничен список ip адресов с которых идет рассылка.

Для этого идете в настройка > Глобальная настройка > Агент передачи сообщений. Убедитесь, что стоит галка Включить проверку подлинности.

И ниже укажите доверенные сети агента передачи сообщений.

Вот такие действия помогут вам найти спамеров и защитить свой сервер Zimbra от рассылки спама.