MailServer 被大量寄廣告信

這是我第三次遇到MailServer被當跳板拿來寄廣告信(三次都是不同公司),
後二次的情形很像,都是偽造固定寄件者,
都會有同一個ip大量連線到Server的25 Port,
即使鎖IP,也沒用,因為對方會換,
且設定檔都沒錯,
一開始都以為設定檔那裡設錯,其實都沒錯,
從第一次遇到的信件內容來看,
會發現認證User和sender不一樣,測了一下就發現帳密設一樣,
難怪中彈,停用此帳號就恢復正常了
第二次再遇到,本以為queue信的attribute,可看出端倪,
不過這次只有一行named_attribute,無從判斷,
這次設定檔也沒錯,而是從maillog看出來,
一個帳號在短時間不停寄信,有問題,
也是試了一下,帳密也是設一樣,唉~~
大量連線的IP,用iptables鎖起來,沒用,因為不到十分鐘,對方會換ip
砍掉或停用帳號會最有效,
我用passwd lock來停用,沒用,還是會持續寄(真是怪),
須直接passwd檔mark(#)此帳號才有用,
之後就會出現如下圖,對方就會驗證一直失敗

結論:
懷疑被盜用帳號時,關鍵字sasl,就會有答案了,真不知為何每次我都耗一堆時間


~~

沒有留言:

張貼留言