У меня работает почтовый сервер postfix/dovecot. Сегодня утром я обнаружил, что он не реагирует на запросы. Оказалось, что /var/log был переполнен. Оказалось, что аккаунт одного из пользователей взломан, и он используется для рассылки спама.
Там около полумиллиона записей вроде этой:
Apr 28 04:12:06 ip-10-0-200-85 postfix/qmgr[3813]: E49F58330A: from=
Я временно отключил postfix и dovecot, что на данный момент нормально, поскольку нас всего 6 человек. Но какие шаги я должен предпринять, кроме сброса пароля пользователя? Может быть, в очереди исходящих сообщений postfix от этого пользователя есть что-то, что я должен удалить (и как мне это сделать?)? Какие еще шаги мне следует предпринять?
Найдите ID одного из писем в очереди с помощью mailq
Затем проверьте заголовки, чтобы узнать, как оно было отправлено с помощью postcat -q ID
(где ID - это ID сообщения). Так вы сможете проверить, отправлено ли письмо авторизованным пользователем или мошенническим скриптом.
Удалите все письма от этого пользователя в очереди с помощью:
mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if ($7 == "user@example.com")
print $1 }
' | tr -d '*!' | postsuper -d -
Где user@example.com - почтовый ящик, рассылающий спам.
После этого измените пароль взломанного пользователя и запустите Postfix и Dovecot.