Postfix
Zimbra 伺服器受損 - 如何調查
我們有一個 zimbra 電子郵件伺服器,其中一個電子郵件帳戶遭到入侵。我們現在遇到的問題是從該伺服器發送了大量垃圾郵件,我們無法確定哪個帳戶被盜用。
在 mailq 中我們只能看到 from 電子郵件,但這是一個虛假的電子郵件地址。
有沒有辦法辨識發送這些電子郵件的真實身份驗證使用者?
您可以為發件人提供 grep 日誌,例如
grep sasl_username /var/log/maillog
或使用此腳本顯示匯總統計資訊
#!/usr/bin/python2 from __future__ import print_function import re re_sasl = re.compile(r'sasl_username=(.*)\s*') senders = {} for line in open('/var/log/maillog'): m = re_sasl.search(line.strip()) if m: username = m.group(1) if username in senders: senders[username] += 1 else: senders[username] = 1 print("Top senders:") for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True): print("\t{0:5d} {1}".format(count, username))