Zimbra 伺服器受損 - 如何調查

我們有一個 zimbra 電子郵件伺服器，其中一個電子郵件帳戶遭到入侵。我們現在遇到的問題是從該伺服器發送了大量垃圾郵件，我們無法確定哪個帳戶被盜用。

在 mailq 中我們只能看到 from 電子郵件，但這是一個虛假的電子郵件地址。

有沒有辦法辨識發送這些電子郵件的真實身份驗證使用者？

您可以為發件人提供 grep 日誌，例如

grep sasl_username /var/log/maillog

或使用此腳本顯示匯總統計資訊

#!/usr/bin/python2
from __future__ import print_function

import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')

senders = {}

for line in open('/var/log/maillog'):
   m = re_sasl.search(line.strip())
   if m:
       username = m.group(1)
       if username in senders:
           senders[username] += 1
       else:
           senders[username] = 1

print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
   print("\t{0:5d} {1}".format(count, username))

引用自：https://serverfault.com/questions/909350