Existen muchas vulnerabilidades con programas que roban cuentas de correo, o simplemente desde fuerza bruta logran capturar contraseñas débiles.

Casualmente me despierto una mañana y tenía 12.000 correos retenidos en el servidor que durante la noche fueron enviados de alguna manera de nuestro servidor de correo. Afortunadamente en una oportunidad estuve probando un comando que me muestra los log en tiempo real de los usuarios que se conectan a Zimbra, con este simple comando inmediatamente observe que una de las cuentas se conectaba y enviaba un correo SPAM y volvía hacerlo, inmediatamente suspendí la cuenta de correo y voalá detuve el SPAM.

Voy a dejar el comando, algo tan simple nos puede salvar la vida.


tail -f /var/log/zimbra.log | grep sasl_username

Luego hice un demonio que verifica ese log y cuando un usuario se conecta muchas veces en cortos periodos suepende temporalmente la cuenta y envía un correo al administrador. Pero una vez lo tenga depurado lo publicaré.

XA,

Anuncios