Heutzutage wurden viele E-Mail-Anwendungen wie Sendmail, Postfix oder sogar MS Exchange neu gestaltet, um die Möglichkeit zu verringern, zu einem „Spam-Relay“ zu werden. Unserer Erfahrung nach werden die meisten SMTP-Auth-Relay-Angriffe durch die Kompromittierung der schwach passwortgeschützten Benutzerkonten verursacht. Sobald die Konten entdeckt und kompromittiert wurden. Spammer authentifizieren sich mithilfe der Benutzeranmeldeinformationen. Ihnen wird die Weiterleitung über den Server gestattet, der dann zum Versenden von Spam verwendet wird.
Nachfolgend finden Sie die einfachen Schritte, um diese Spam-E-Mails schnell zu stoppen und festzustellen, welches Konto bzw. welche Konten kompromittiert wurden.
Schritt 1: Stoppen Sie die E-Mail-Warteschlange in der Warteschleife.
Große Mengen an Spam-E-Mails stehen ständig in der Warteschlange Ihres E-Mail-Spools. Was noch schlimmer ist, ist der ganze Spam, der Ihre ganze /var-Datei füllt. Daher sollten Sie die E-Mail-Warteschlange immer vorübergehend warten lassen, bis Sie herausfinden, welches Konto von Spammer ausgenutzt wurde, und eine große Menge E-Mails versenden.
Schritt 2: Überprüfen Sie Ihr E-Mail-Protokoll.
Gehen Sie zu /var/log/maillog, um einen kurzen Blick auf die Zeile mit from:<> zu werfen. Möglicherweise sehen Sie viele E-Mail-Domänennamen, die nicht zu Ihrer Organisation gehören. Dies liegt daran, dass der Spammer die E-Mail von <> vortäuscht.
Schritt 3: Identifizieren Sie das kompromittierte Konto, das die SMTP-AUTH-Verbindung authentifiziert
Als Nächstes überprüfen wir die E-Mail-Konten, die ausgenutzt wurden. Führen Sie einen have cat grep sasl_username aus und sortieren Sie ihn. Sie sollten eine lange Liste der Anmeldeversuche und Sitzungen für dieses ausgenutzte Konto sehen. Sie können auch eine schnelle Berechnung durchführen, indem Sie den Befehl wc -l ausführen, um die Gesamtzahl der Sitzungen für einen bestimmten Benutzer anzuzeigen.
Schritt 4: Deaktivieren Sie das ausgenutzte E-Mail-Konto.
Einmal haben wir die Zeichenfolge SASL_username, die das Benutzerkonto darstellt. Wir empfehlen Ihnen, das Passwort zu deaktivieren oder in ein komplexes Passwort zu ändern.
Schritt 5: Verschieben Sie die E-Mail-Warteschlange oder löschen Sie die Spam-E-Mail
Jetzt müssen wir uns um unsere Mail-Warteschlange kümmern. Der einfachere und schnellste Weg besteht darin, Ihre E-Mail-Warteschlange zu verschieben und die Verwaltung später zu erledigen. Alternativ können Sie diese Spam-E-Mails mithilfe eines Bash-Skripts löschen.
Schritt 6: Mail-Warteschlange freigeben
Denken Sie daran, die E-Mail-Warteschlange nach unserem Reinigungsprozess freizugeben und den E-Mail-Verkehr weiterhin zu überwachen.