Postfix

如果特定 postfix/dovecot 使用者的帳戶被黑客入侵並被用來發送垃圾郵件怎麼辦?

  • April 28, 2021

我正在執行一個 postfix/dovecot 郵件伺服器。今天早上,我發現它沒有反應。結果,/var/log 已滿。似乎其中一位使用者的帳戶被黑,並被用來發送垃圾郵件。

大約有 50 萬個這樣的條目:

Apr 28 04:12:06 ip-10-0-200-85 postfix/qmgr[3813]: E49F58330A: from=<user@mmydomain.com>, size=2353, nrcpt=20 (queue active)

我暫時關閉了 postfix 和 dovecot,暫時還好,因為我們只有 6 個人在使用它。但是,除了重置使用者密碼之外,我還應該採取哪些步驟?我應該刪除該使用者的出站後綴隊列中的某些內容(我將如何刪除?)?我應該採取任何其他步驟嗎?

查找隊列中其中一封郵件的 ID,mailq

然後檢查標題以查看它是如何發送的postcat -q ID(其中 ID 是消息的 ID)。通過這種方式,您可以檢查電子郵件是由經過身份驗證的使用者還是惡意腳本發送的。

刪除隊列中該使用者的所有電子郵件:

mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if ($7 == "user@example.com")
print $1 }
' | tr -d '*!' | postsuper -d -

其中 user@example.com 是發送垃圾郵件的郵箱。

之後,更改被黑使用者的密碼並啟動 Postfix 和 Dovecot。

引用自:https://serverfault.com/questions/1061798