como root <sxh>cat /var/log/zimbra.log | sed -n 's/.*sasl_username=p' | sort | uniq -c | sort -nr</sxh> También podemos usar <sxh> cat /var/log/zimbra.log | grep failure</sxh> para buscar intentos de autentificación erróneos Para ver problemas de autentificación hay que mirar el log /opt/zimbra/log/audit.log Para ver las ips desde las que están lanzando los intentos de validación <sxh>tail -f /var/log/maillog | grep warning </sxh> <note tip>En https://www.abuseipdb.com/ podemos comprobar si dicha ip ya se ha notificado o notificarla nosotros como sospechosa</note> <note tip>En https://ipinfo.io/ podemos saber el rango de ip perteneciente a un proveedor para filtrar todo el rango</note> === Mover los mensajes a la cola retenidos === Si tenemos muchos mensajes de spam en nuestro servidor deberíamos de moverlos a la cola retenidos para posteriormente analizarlos. Como root vamos a cada cola y los movemos a la cola hold <sxh>cd /opt/zimbra/data/postfix/spool/active mv * ../hold</sxh> <sxh>cd /opt/zimbra/data/postfix/spool/defer #defer has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done</sxh> <sxh>cd /opt/zimbra/data/postfix/spool/deferred #deferred has 0 to f sub-folders inside for A in *; do mv -f $A/* ../hold; done</sxh> <sxh>cd /opt/zimbra/data/postfix/spool/incoming mv * ../hold</sxh> Una vez que hemos pasado todos los mensajes a la carpeta hold pasamos a verificar dentro de la carpeta los que tienen como ip origen el equipo atacante y en mi caso los elimino directamente <sxh> cd /opt/zimbra/data/postfix/spool/hold grep -l 185.236.203.159 * | xargs -I{} rm {}</sxh> <note>si son muchos mensajes no podras usar *, tendras que acortar la búsqueda para que no te de error por ejemplo usando A34* en vez de * para analizar sólo los mensajes que empiezan por ese prefijo</note> ==== Reputación ==== https://jejo.es/posts/servidores/reputacion_servidor_correo/ Para evitar el spam además de asegurar nuestro servidor de correos debemos de configurar lo siguiente: - Crear una Firma DKIM válida - Verificacion DMARC - Certificados ssl validados por una autoridad de certificacion, tipo Let´s Encrypt (https://letsencrypt.org/es/) - Comprobar que no estamos en una Lista Negra. Si es asi hay que solicitar el desbloqueo - Superar SPF (Sender Policy Framework) Para comprobar la reputación de nuestro servidor de correos podemos usar: - https://mxtoolbox.com/SuperTool.aspx - http://www.mail-tester.com/ - https://www.senderbase.org/ - https://multirbl.valli.org - https://www.senderscore.org/ ==== Referencias ==== * https://wiki.zimbra.com/wiki/Spamming_troubleshooting * https://www.sbarjatiya.com/notes_wiki/index.php/CentOS_7.x_Zimbra_mail_queue_management * https://wiki.zimbra.com/wiki/Enforcing_a_match_between_FROM_address_and_sasl_username_8.5 * https://wiki.zimbra.com/wiki/Compromised_account_results_in_the_server_being_used_to_send_out_spam_mail