Fiz um script que fica monitorando o maillog, se algum user autenticar
mais de 50 vezes no smtp nas últimas 5000 linhas do log, é bloqueado no
Mysql.
Tem um comentário para o Zimbra tb.
http://www.psi.com.br/~julio/postfix/sasl-killer.sh
Qqr dúvida me dê um alô!!
Abs.
-----------------------------
_ Julio Cesar Covolato
0v0<[email protected]>
/(_)\ F: 55-11-3129-3366
^ ^ PSI INTERNET
-----------------------------
Em 12/07/2011 09:39, Valley Man escreveu:
Consegui encontrar,
Mandei re-direcionar todos os e-mails que estavam saindo para uma conta
específica. Fazendo uma varredura encontrei os e-mails do atacante e no
cabeçalho identifiquei o usuário. Senha alterada e o daemon de autenticação
re-iniciado o problema parou. Infelizmente, aqui na instituição onde trabalho
até mesmo implementar uma política para adoção de senhas fortes é uma
dificuldade, esse episódio talvez ajude a mudar isso.
Desculpe não enviar os logs, mas o volume de e-mails é muito grande e também
não queria expor as contas de outros usuários. Vou ficar de olho aqui, se eu
nao voltar a responder é porque o problema foi resolvido (por enquanto).
Muito obrigado pela ajuda!
Em 12/07/2011 09:11, Jeronimo escreveu:
Sem os Logs é impossível te ajudar!
O campo From: não corresponde ao usuário que está autenticado. Pode-se
colocar qualquer coisa lá.
Abraço,
Jerônimo
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
_______________________________________________
Postfix-BR mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/postfix-br
