Zimbra рассылает спам

Обновлено 23.12.2016

Zimbra рассылает спам

Добрый день уважаемые читатели и подписчики блога, спам самая большая головная боль любого почтового администратора, мало того, что он вечно пытается до ставиться вам в клиентские электронные ящики, так еще не дай Бог, будет транслироваться через ваш smtp сервер. Партнеры моей организации обратились ко мне за помощью, с просьбой посмотреть их почтовый сервер Zimbra, он стал медленней работать и письма стали доставляться дольше обычного. Забегая вперед их сервер Zimbra рассылал спам, мы рассмотрим как это узнать и как в будущем избежать.

Борьба со спамом

Кто не в курсе спам это мусорное письмо с очередным рекламным предложением, а в худшем случае это вирусные письма и если ваш сервер стал инструментом в руках злоумышленников, то ваш почтовый сервер Zimbra рискует в ближайшее время попасть во все базы спамерских доменов, этого нам не нужно, так как вытаскивать его потом от туда очень проблематично.

Для того, чтобы определить проблему, зайдите в консоль управления Zimbra сервером. Портом по умолчанию выступает 7071.

https://ваш домен:7071/zimbraAdmin/

На главной странице у вас будет сводка, где можно посмотреть длину очереди, вот пример в 2500, явно идет рассылка.

zimbra спам

Переходим в пункт Монитор > Почтовые очереди. У вас будет статистика по:

  • Адресу отправителя > я сразу увидел левый электронный ящик, у него подменен домен на info@myemail.com
  • Вижу домен отправителя, тоже не мой
  • И самое главное ip адрес откуда подключился злодей, его мы блокируем сразу в iptables.

zimbra спам-2

Так как у меня установлен CentOS 7, то сразу выполняем команду блокирующая найденный ip адрес:

iptables -I INPUT -s 185.112.248.66 -j DROP

Посмотреть изменения можно командой iptables -L, удалить правило ключ -D. Все Ip заблокировали, теперь нужно понять через какую учетную запись шла рассылка. Для этого открываем в консоли путь var/log и находим файл maillog. Лично я больше предпочитаю протокол sftp, я по нему подключаюсь с помощью утилиты WinSCP 5.

zimbra спам-3

Хочу отметить, что файл maillog может быть большим, и его можно будет открыть например Notepad++

У себя я нашел вот такие строки client=unknown[185.112.248.66], sasl_method=LOGIN, sasl_username=sales@домен, то что нужно вот этот взломанный ящик sales@домен.

zimbra спам-4

Идем в Управление > Учетные записи и отключаем нужную, либо меняем пароль.

zimbra спам-5

Чтобы в будущем этого избежать нужно настроить и выработать, политику стойких паролей, минимум из 15 символов. Еще в Zimbra почтовом сервере есть возможность отправить письмо и в поле отправителя подставить любой адрес, сами понимаете это не хорошо.  Исправляется это просто редактируем файл main.cf.

smtpd_sender_restrictions = reject_sender_login_mismatch, reject_unverified_sender

и в /etc/postfix/smtpd_sender_login_maps
user@mydomain.ru user@mailserver

Так же, советую почитать как улучшить качество доставки почты и обязательно проверьте, чтобы у вас стояла проверка подлинности при авторизации на электронный ящик и ограничен список ip адресов с которых идет рассылка.

Для этого идете в настройка > Глобальная настройка > Агент передачи сообщений. Убедитесь, что стоит галка Включить проверку подлинности.

zimbra спам-6

И ниже укажите доверенные сети агента передачи сообщений.

zimbra спам-7

Вот такие действия помогут вам найти спамеров и защитить свой сервер Zimbra от рассылки спама.

Автор - Сёмин Иван

5 Responses to Zimbra рассылает спам

  1. Гена:

    Как же ваша статья, оказалась кстати

  2. Илья:

    А где smtpd_sender_login_maps = hash:/etc/postfix/smtpd_sender_login_maps ?

  3. Алексей:

    Подскажите, пожалуйста, если длина очереди 200 растет, а в Мониторинге очередей вообще нет ни каких, по нулям. Что это может быть? Как в этом случаи найти кого взломали.

  4. Иван Семин:

    Нужно по логам посмотреть, веб морда не всегда отображает все корректно.

  5. Алексей:

    По логам ничего страшного нет, только не удачные попытки заломиться. Если проверяешь через postqueue -p, то ничего нет.
    Jul 6 16:27:53 zimbra postfix/smtpd[13299]: lost connection after EHLO from unknown[156.96.56.5]
    Jul 6 16:27:53 zimbra postfix/smtpd[13299]: disconnect from unknown[156.96.56.5] ehlo=1 commands=1
    Jul 6 16:28:00 zimbra postfix/postscreen[4335]: CONNECT from [156.96.56.5]:52656 to [192.168.0.0]:25
    Jul 6 16:28:00 zimbra postfix/postscreen[4335]: PASS OLD [156.96.56.5]:52656
    Jul 6 16:28:10 zimbra postfix/smtpd[5122]: connect from unknown[156.96.56.5]
    Jul 6 16:28:32 zimbra postfix/smtpd[5122]: lost connection after EHLO from unknown[156.96.56.5]
    Jul 6 16:28:32 zimbra postfix/smtpd[5122]: disconnect from unknown[156.96.56.5] ehlo=1 commands=1
    Jul 6 16:28:38 zimbra postfix/smtps/smtpd[12079]: warning: hostname ip247.tervelnet.com does not resolve to address 87.246.7.247
    Jul 6 16:28:38 zimbra postfix/smtps/smtpd[12079]: connect from unknown[87.246.7.247]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *