Zimbra рассылает спам.

0

2

Добрый вечер уважаемые форумчане. Слезно прошу помочь в решении задачки, в которой Zimbra версии 8.8.15_GA_4018, рассылает спам, Mail Server установлен на CentOs 7, внутри небольшой организации. Из-за спама айпи попал в блэклист spamhausa (они ссылаются на спам по 25 порту и установку с нашего IP соединений с компрометирующими сайтами). Выглядит это так - https://skr.sh/sA5D3RRZyUl?a. При этом имеем длину очереди - https://skr.sh/sA5ZZPsUD8C?a, но в мониторе почтовой очереди все неизменно - https://skr.sh/sA5u65MQzbz?a. Более того, по команде zmqstat выводит именно hold=1, corrupt=0, deferred=8, а очередь из 27 писем мы не видим.postqueue -p также выдает 8 запросов. zimbraMtaMyNetworks прописана только внутренняя сеть. Записи DNS, Dkim, spf и МХ в порядке. Сервер не является OpenRelay. Скомпрометированных учеток не нашел (cat /var/log/zimbra.log | sed -n ‘s/.*sasl_username=//p’ | sort | uniq -c | sort -nr). Ох, что-то еще делал, не помогает ничего. Прошу помочь советом или делом, серьезно настроенных людей с помощью приглашаю в личку (в долгу не останусь). Ситуация действительно какая-то аномальная.

Ссылка

←	Ansible EC2

как mkfs.squashfs

→

Показаны ответы на комментарий. Показать все комментарии.

Ответ на: комментарий от AS 17.09.21 19:17:25 UTC

Да постфикс. Спам даже бывает когда все ПК выключены в офисе.

DenisGoldens
(17.09.21 19:21:24 UTC) автор топика

Ответ на: комментарий от DenisGoldens 17.09.21 19:21:24 UTC

Да постфикс. Спам даже бывает когда все ПК выключены в офисе.

Так может это уже накопленное в очереди улетает. В общем, проще всего начинать с заголовков сообщений, а там уже дальше tcpdump, ss и т.п., если по заголовкам не будет понятно. А, ну и логи Постфикса посмотреть конечно, там будет, откуда он сообщения в очередь получает.

AS ★★★★★
(17.09.21 19:23:41 UTC)
Последнее исправление: AS 17.09.21 19:28:20 UTC (всего исправлений: 1)

Ответ на: комментарий от AS 17.09.21 19:23:41 UTC

Хорошо поищу. Но для меня это новый опыт, я готов учиться, но уже неделю ума не дам, как это побороть. А люди не могут заказчикам письма отправить. Вот может кто-то из Вас мне сможет помочь. Подключиться. В долгу не останусь.

DenisGoldens
(17.09.21 19:43:33 UTC) автор топика

Ответ на: комментарий от DenisGoldens 17.09.21 19:43:33 UTC

Вот может кто-то из Вас мне сможет помочь.

У меня выходные заняты, и спать пора по этому случаю. А так наверное мог бы. Если к понедельнику понимание не наступит, можно попробовать глянуть.

AS ★★★★★
(17.09.21 20:21:08 UTC)

Ссылка

Ответ на: комментарий от DenisGoldens 17.09.21 19:21:24 UTC

А очередь постфикса грохали когда все компы выключены. Может почтовик очередь отрабатывает он должен это делать.

alex_sim ★★★★
(18.09.21 06:01:17 UTC)

Ответ на: комментарий от alex_sim 18.09.21 06:01:17 UTC

Грохал почту, там в админке то очередь несколько писем, не то что в мониторе показывает.

DenisGoldens
(18.09.21 06:22:56 UTC) автор топика

Ответ на: комментарий от DenisGoldens 18.09.21 06:22:56 UTC

У вас случаем на этом сервере шлюз или прокси не присутствует?

~~Bootmen~~ ☆☆☆
(18.09.21 13:01:01 UTC)

Ответ на: комментарий от Bootmen 18.09.21 13:01:01 UTC

Шлюз и прокси отсутствуют, на сколько я вижу. А как можно точно в этом убедиться?

DenisGoldens
(18.09.21 13:17:41 UTC) автор топика

Ответ на: комментарий от DenisGoldens 18.09.21 13:17:41 UTC

ну чес слово незнаю

netstat
route -n
iptables -L
tcpdump -i интерфейс > aaa.txt

и т. д.

~~Bootmen~~ ☆☆☆
(18.09.21 13:47:11 UTC)

Ответ на: комментарий от Bootmen 18.09.21 13:47:11 UTC

Оки, поищу.

DenisGoldens
(18.09.21 16:56:37 UTC) автор топика

Ссылка

Ответ на: комментарий от Bootmen 18.09.21 13:47:11 UTC

tcpdump -i etho Нашел вот это https://skr.sh/sA6dNMmXwja?a Чтобы это могло значить? netstat, route -n и iptables -L на первый взгляд ничего необычного.

DenisGoldens
(18.09.21 18:21:01 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ansible EC2

Admin

как mkfs.squashfs

→

Похожие темы