envio de spam desde cuenta usuario. ayudeitor!!!

[Juan Cruz Otatti]

buenas gente, 

como estan? 

tengo un problema con un usuario en zimbra y no se como solucionarlo, les cuento, ayer me aviso que su cuenta de correo mandaba spam, mire la cola habia como 1500 mails los revise y eran todos que estaban por salir de esa cuenta, los elimine y lo que hice fue bloquear esas direcciones de mail le pedi que cambie el password, pero ahora a nivel servidor no se que hacer, porque si bien paro un poco, se siguen enviando y no me quiero convertir en spammer, y tampoco quiero que esto se propague al resto de los usuarios.

les cuento que no estamos en ninguna lista negra, pero necesito buscarle la solucion a este problema.

me puedes dar una mano? tengo zimbra 8.7.0  en centos 7. 

gracias

  Enviado con Mailtrack

[Alphonse]

Pues primero que nada tendrías que verificar que usuario es desde el que se están ingresando. 

tail -n 50000 /var/log/zimbra.log | grep sasl_user | awk '{print $7 ";"$9}' | sort -t ',' -k3 | uniq -c | sort -n > cuentas_recientes.txt

ahí cuenta desde que cuenta y que ip estan enviando el spam, seguramente hay mas usuarios que entregaron su password, en el archivo te muestra algo así:

20 client=unknown[1.2.3.4],;sasl_username=some...@somesite.com

500 client=unknown[5.6.7.8],;sasl_username=some...@somesite.com

y te sugiero que leas esta entrada de Jorge de la Cruz, si puedes revisar los 3 mejor:

https://www.jorgedelacruz.es/2014/09/08/zimbra-seguridad-ii-parte-enforcing-a-match-between-from-address-and-sasl-username-en-zimbra-8-5/

--
Has recibido este mensaje porque eres miembro de "zimbra grupo" de Google.
Si quieres publicar envía un mensaje de correo a zimbr...@googlegroups.com o entra en http://groups.google.es/group/zimbragrupo
 
Para anular la suscripción envía un mensaje a zimbragrupo-unsubscribe@googlegroups.com
---
Has recibido este mensaje porque estás suscrito al grupo "zimbra grupo" de Grupos de Google.
Para cancelar la suscripción a este grupo y dejar de recibir sus mensajes, envía un correo electrónico a zimbragrupo+unsubscribe@googlegroups.com.
Para acceder a más opciones, visita https://groups.google.com/d/optout.

--

De nada me sirve el saber sin compartir

[Juan Cruz Otatti]

gracias por la ayuda Alphonse, luego les contare como me fue. 

saludillos para todos los ziembristas. 

  Enviado con Mailtrack

El 9 de marzo de 2017, 17:16, Alphonse<aphois...@gmail.com> escribió:

Pues primero que nada tendrías que verificar que usuario es desde el que se están ingresando. 

tail -n 50000 /var/log/zimbra.log | grep sasl_user | awk '{print $7 ";"$9}' | sort -t ',' -k3 | uniq -c | sort -n > cuentas_recientes.txt

ahí cuenta desde que cuenta y que ip estan enviando el spam, seguramente hay mas usuarios que entregaron su password, en el archivo te muestra algo así:

20 client=unknown[1.2.3.4],;sasl_username=some...@somesite.com

500 client=unknown[5.6.7.8],;sasl_username=somebody2@somesite.com

[Edwind Richzendy Contreras Soto]

Otra cosa que puedes revisar es que si el usuario tiene un cliente de correo configurado en la computadora, hay muchos virus que se aprovechan de tomar las credenciales y con las mismas envían spam, que de cierta forma no tiene nada que ver con el servidor.

El 9 de marzo de 2017, 16:37, Juan Cruz Otatti <juancru...@gmail.com> escribió:

gracias por la ayuda Alphonse, luego les contare como me fue. 

saludillos para todos los ziembristas. 

  Enviado con Mailtrack

El 9 de marzo de 2017, 17:16, Alphonse<aphois.dragon@gmail.com> escribió:

Pues primero que nada tendrías que verificar que usuario es desde el que se están ingresando. 

tail -n 50000 /var/log/zimbra.log | grep sasl_user | awk '{print $7 ";"$9}' | sort -t ',' -k3 | uniq -c | sort -n > cuentas_recientes.txt

ahí cuenta desde que cuenta y que ip estan enviando el spam, seguramente hay mas usuarios que entregaron su password, en el archivo te muestra algo así:

20 client=unknown[1.2.3.4],;sasl_username=some...@somesite.com

500 client=unknown[5.6.7.8],;sasl_username=some...@somesite.com