web-dev-qa-db-ja.com

Zimbraサーバーが侵害されました-調査方法

Zimbraメールサーバーがあり、メールアカウントの1つが侵害されました。現在の問題は、そのサーバーから多くのスパムが送信され、どのアカウントが侵害されているかを特定できないことです。

Mailqではfromメールしか見ることができませんが、これは偽のメールアドレスです。

それらの電子メールを送信している実際の認証ユーザーを識別する方法はありますか?

2
Milos

次のような送信者のログをgrepすることができます

grep sasl_username /var/log/maillog

または、このスクリプトを使用して集計統計を表示します

#!/usr/bin/python2
from __future__ import print_function

import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')

senders = {}

for line in open('/var/log/maillog'):
    m = re_sasl.search(line.strip())
    if m:
        username = m.group(1)
        if username in senders:
            senders[username] += 1
        else:
            senders[username] = 1

print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
    print("\t{0:5d} {1}".format(count, username))
1
yaplik

侵害アカウントの詳細を取得するには、このコマンドを使用してください

cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n