我们有一个 zimbra 电子邮件服务器,其中一个电子邮件帐户被盗用。我们现在面临的问题是,大量垃圾邮件从该服务器发送,我们无法确定哪个帐户被盗用。
在 mailq 中我们只能看到发件人邮件,但这是一个虚假的电子邮件地址。
有没有办法识别发送这些电子邮件的真正授权用户?
答案1
你可以通过 grep 查找发件人的日志,例如
grep sasl_username /var/log/maillog
或者使用此脚本来显示汇总统计信息
#!/usr/bin/python2
from __future__ import print_function
import re
re_sasl = re.compile(r'sasl_username=(.*)\s*')
senders = {}
for line in open('/var/log/maillog'):
m = re_sasl.search(line.strip())
if m:
username = m.group(1)
if username in senders:
senders[username] += 1
else:
senders[username] = 1
print("Top senders:")
for username, count in sorted(senders.iteritems(), key=lambda x: x[1], reverse=True):
print("\t{0:5d} {1}".format(count, username))
答案2
请使用此命令获取受感染帐户的详细信息
cat zimbra.log | sed -n 's/.*sasl_username=//p' | sort | uniq -c | sort -n