Heutzutage sind viele E-Mail-Anwendungen wie Sendmail, Postfix oder sogar MS Exchange so umgestaltet worden, dass sie nicht mehr als "Spam-Relay" eingesetzt werden können. Unserer Erfahrung nach werden die meisten SMTP AUTH-Relay-Angriffe durch die Kompromittierung von schwach passwortgeschützten Benutzerkonten verursacht. Sobald die Konten entdeckt und kompromittiert wurden. Spammer authentifizieren sich mit den Benutzeranmeldeinformationen und erhalten die Erlaubnis, über den Server weiterzuleiten, der dann zum Versenden von Spam verwendet wird.
Nachfolgend finden Sie einfache Schritte, um diese Spam-E-Mails schnell zu stoppen und festzustellen, welches Konto bzw. welche Konten kompromittiert wurden.
Schritt 1: Anhalten der Warteschleife.
Große Mengen an Spam-E-Mails stehen in der Warteschlange des Mail-Spoolers. Das Schlimmste daran ist, dass die Spam-Mails Ihren gesamten /var-Speicher füllen. Daher sollten Sie die Mail-Warteschlange immer vorübergehend zurückhalten, bis Sie herausfinden, welches Konto von Spammern ausgenutzt wurde und eine große Menge an E-Mails versendet hat.
Schritt 2: Überprüfen Sie Ihr E-Mail-Protokoll.
Gehen Sie zu /var/log/maillog und werfen Sie einen Blick auf die Zeile mit from:. Sie werden dort viele E-Mail-Domänennamen sehen, die nicht zu Ihrer Organisation gehören. Das liegt daran, dass der Spammer die E-Mail von: fälscht.
Schritt 3: Identifizierung des kompromittierten Kontos, das die SMTP AUTH-Verbindung authentifiziert
Als nächstes überprüfen wir die E-Mail-Konten, die ausgenutzt wurden. Führen Sie cat grep sasl_username aus und sortieren Sie es. Sie sollten eine lange Liste der Anmeldeversuche und Sitzungen für die ausgenutzten Konten sehen. Sie können auch eine schnelle Berechnung durchführen, indem Sie den Befehl wc -l ausführen, um die Gesamtzahl der Sitzungen für einen bestimmten Benutzer zu sehen.
Schritt 4: Deaktivieren Sie das missbrauchte E-Mail-Konto.
Einmal haben wir die Zeichenfolge SASL_username, die das Benutzerkonto darstellt. Es wird empfohlen, das Passwort zu deaktivieren oder in ein komplexes Passwort zu ändern.
Schritt 5: Verschieben Sie die Mail-Warteschlange oder löschen Sie die Spam-Mail
Nun müssen wir uns um unsere Mail-Warteschlange kümmern. Der einfachste und schnellste Weg ist, die Mail-Warteschlange zu verschieben und die Hausarbeit später zu erledigen. Oder Sie können diese Spam-E-Mails mit einem Bash-Skript löschen.
Schritt 6: Mail-Warteschlange freigeben
Denken Sie daran, die Mail-Warteschlange nach unserem Housekeeping-Prozess freizugeben und den Mailverkehr weiter zu überwachen.