У нас есть почтовый сервер Zimbra, и одна из учетных записей электронной почты была взломана. Проблема, которая у нас есть сейчас, заключается в том, что с этого сервера рассылается много спама, и мы не можем определить, какая учетная запись взломана.
В mailq мы можем видеть только отправленное письмо, но это поддельный адрес электронной почты.
Есть ли способ определить настоящего пользователя аутентификации, который отправляет эти электронные письма?
Вы можете либо использовать журналы grep для отправителей, например
grep sasl_username /var/log/maillog
, либо использовать этот сценарий для отображения совокупной статистики
#!/usr/bin/python2
from __future__ import print_function
import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')
senders = {}
for line in open('/var/log/maillog'):
m = re_sasl.search(line.strip())
if m:
username = m.group(1)
if username in senders:
senders[username] += 1
else:
senders[username] = 1
print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
print("\t{0:5d} {1}".format(count, username))
Используйте эту команду для получения сведений о взломанной учетной записи
cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n