Zimbraサーバーが侵害されました-調査方法
Zimbraメールサーバーがあり、メールアカウントの1つが侵害されました。現在の問題は、そのサーバーから多くのスパムが送信され、どのアカウントが侵害されているかを特定できないことです。
Mailqではfromメールしか見ることができませんが、これは偽のメールアドレスです。
それらの電子メールを送信している実際の認証ユーザーを識別する方法はありますか?
次のような送信者のログをgrepすることができます
grep sasl_username /var/log/maillog
または、このスクリプトを使用して集計統計を表示します
#!/usr/bin/python2
from __future__ import print_function
import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')
senders = {}
for line in open('/var/log/maillog'):
m = re_sasl.search(line.strip())
if m:
username = m.group(1)
if username in senders:
senders[username] += 1
else:
senders[username] = 1
print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
print("\t{0:5d} {1}".format(count, username))
侵害アカウントの詳細を取得するには、このコマンドを使用してください
cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n