Zimbra в botnet?
Замучился вторую неделю искать дырку в безопасности. У меня 200 человек в пользователях, отправляют в основном друг другу внутри домена. Каждое утро последние недели я вытаскиваю нас из dnsbl. Еще и гугл забанил, как это ни смешно, хочет доказательств что я не бот.
Вызываю daily report:
top 50 Senders by message count
Я не понимаю как зимбра подсчитывает письма и как можно посмотреть полностью количество отправленных писем с домена и ящиков? Очень хочу что б цифры сошлись, но они никак не сходятся.
Уже был на памяти взлом одного ящика, там очередь набивалась по 10-20 тысяч писем и в логах я видел своими глазами как отправка шла с одного внешнего ящика на другой. Учетку я смог тогда найти через audit.log или access.log-date. Тут что то совершенно другое. Я подозреваю, что дело может быть и вовсе не в зимбре.
messages
580 received
1671 delivered
0 forwarded
4 deferred (7 deferrals)
59 bounced
542 rejected (24%)
Host/Domain Summary: Message Delivery (top 50)
----------------------------------------------
sent cnt bytes defers avg dly max dly host/domain
-------- ------- ------- ------- ------- -----------
1339 478428k 0 3.1 s 1.5 m mydomain.ru
107 146786k 0 3.7 s 18.0 s mail.ru
58 87057 0 1.5 s 7.5 s mail.mydomain.ru - локальная почта, root пишет drweb и наоборот
23 745k 0 2.9 s 8.2 s bk.ru
22 7546k 0 2.8 s 7.8 s yandex.ru
19 545m 1 50.5 s 7.0 m gusst8.ru
9 52362k 0 5.1 s 8.6 s ya.ru
Host/Domain Summary: Messages Received (top 50)
-----------------------------------------------
-----------------------------------------------
msg cnt bytes host/domain
-------- ------- -----------
214 349299k mydomain.ru
29 36468 mail.mydomain.ru
17 38702k mail.ru
15 804k localhost
15 374953 bk.ru
12 330498 ofsys.com
10 9212k gmail.com
top 50 Senders by message count
-------------------------------
71 robot@mydomain.ru
29 root@mail.mydomain.ru
17 from=<>
Проще говоря, с моего домена за полдня отправлено 1339 писем, а получено 214. В топе отправителей бот для уведомлений документооборота с его 71 письмом. 214-71 = 143, т.е. 143 письма было получено не роботом, значит где-то 100-120 отправлены с моего домена на мой домен. Куда ушли остальные 1100(+-542 из rejected) писем для меня загадка.
Я ковырял /var/log/zimbra.log ночами, но там только общение рута с вебом. Очереди пустые, релей закрыт, по выходным тишина, гугл не банит и в листы не попадаем. Логи аудита зимбры показывают только попытки авторизации уволенных людей с их андройдов и стандартные записи вида:
Я ковырял /var/log/zimbra.log ночами, но там только общение рута с вебом. Очереди пустые, релей закрыт, по выходным тишина, гугл не банит и в листы не попадаем. Логи аудита зимбры показывают только попытки авторизации уволенных людей с их андройдов и стандартные записи вида:
INFO [qtp492237859-78437:https://127.0.0.1:7071/service/admin/soap/AuthRequest] [name=zimbra;ip=127.0.0.1;ua=zmprov/8.0.9_GA_6191;] security - cmd=AdminAuth; account=zimbra;
Я не понимаю как зимбра подсчитывает письма и как можно посмотреть полностью количество отправленных писем с домена и ящиков? Очень хочу что б цифры сошлись, но они никак не сходятся.
Уже был на памяти взлом одного ящика, там очередь набивалась по 10-20 тысяч писем и в логах я видел своими глазами как отправка шла с одного внешнего ящика на другой. Учетку я смог тогда найти через audit.log или access.log-date. Тут что то совершенно другое. Я подозреваю, что дело может быть и вовсе не в зимбре.
Новости
 |
Ой, всё 10 Сен 2015 |
 |
Форум OSSPortal временно переведён в read-only 21 Июн 2015 |
 |
Релиз Alvex 2015.02 Community 07 Фев 2015 |
Вход в систему
Новые комментарии
Комментарии
10/03/2015 - 15:35
Запрет на pop3 imap smtp установил в настройках класса, и теперь по smtp письма отправляют только антивирусы, мониторы и прочая автоматика установленная на серверах.
Слава Богу, получилось, хоть было и не просто!
300+ пользователей, из них 200 активных, работают с почтой каждый день.
Уже 2 года полет нормальный, никто никогда не банил, я и забыл что такое spam database.
10/03/2015 - 17:19
10/03/2015 - 17:21
у одних отнять smtp, другим дать
11/03/2015 - 08:20
11/03/2015 - 12:50
Там галочка "Включить проверку подлинности". Кстати там-же можно включить режим "Использовать только проверку подлинности TLS"
Теоретически, при авторизации по TLS стырить пароль smtp сложнее для ботнет-вирусов.
Если ее включить, потом поменять пароли от ящиков (перенастроив клиенты) то вероятность ботнет-рассылок резко упадет.
Главное сначала включить TLS а потом пароли менять.
12/03/2015 - 14:02
Касательно своего же сабжа, покопавшись в старых репортах я понял, что ситуация моя выходит за грани одной зимбры, надо ловить за хвост автоматические запросы, захламляя dmesg логами из iptables.
16/03/2015 - 14:20
Вот он, бот: