Утро сегодня задалось…)
Все было прекрасно приехал пораньше на работу, чтобы без пробок, утренний кофе из Макдоналдс с вишневым пирожком, разбор бумаг, почты, очередных задач\проектов… Время 9 звонки почта не работает… хм зашли веб отвечает вроде все ок… Звонки участились… почуяли что то неладное… Оказалось не ходят письма ни входящие ни исходящие ни внутри ни наружу…
Стали копать… долго бились впервые столкнулись с тем что почтовый сервер сам отправляет от себя письма…
По логам наблюдаем:
Feb 13 11:01:08 mail postfix/qmgr[33224]: 12A1B525279: from=<info@pg.com>, size=2094, nrcpt=20 (queue active)
Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<chip.sturgis@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119)
Feb 13 11:01:08 mail postfix/smtp[55674]: 5BB4178A532: to=<chip51682@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10032, conn_use=6, delay=3075, delays=3073/0.17/0/1.2, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as E5FA15B8119)
Домена такого у нас нет естественно, ну и адресатов по 20 штук… и таких писем оказалось по 200 тыс)))
Для кого то может и не ново это и все давно об этом знают, но в ситуации когда почта не ходит а у тебя 1500 учетных записей это критично и поэтому для себя сохраню, мало ли на будущее…
Письма наших доменов не ходили… Версия zimbra на момент написания статьи была установлена последняя Release 8.8.10…
Решалось в нашем случае следующим образом.
Оказалось что получили доступ к логину\паролю от нескольких учетных записей и под ними накидали кучу писем на отправку.
Используя текущий либо архивный, а лучше и тот и тот с помощью команды
cat /var/log/zimbra.log | sed -n ‘s/.*sasl_username=//p’ | sort | uniq -c | sort -nr
получаем наиболее частые за весь лог входы в учетные записи по убыванию
[root@mail tmp]# cat /var/log/zimbra.log | sed -n ‘s/.*sasl_username=//p’ | sort | uniq -c | sort -nr
6802 test1@example.ru
340 messages@example.ru
307 1csupport@example.ru
136 info@example.ru
16 docoborot@example.ru
13 test@example.ru
Цифра спереди как раз обозначает количество входов
Отсюда сразу ясно что поломан ящик test1 бежим срочно блокируем учетную запись\меняем пароль, отключаем ПК от сети с которого производится вход на случай кейлоггеров и переставляем там для успокоения души Windows)
Делаем аналогично с остальными учетками к которым есть подозрение)
Далее требуется очистить весь этот шлак
В нашем случае повезло что все шло от одного отправителя! С целью доставки\отправки реальных писем нам надо удалить из очереди все спам письма.
postqueue -p | tail -n +2 | awk ‘BEGIN { RS = “” } /info@pg\.com/ { print $1 }’ | tr -d ‘*!’ > /tmp/mailmail
Сохраняем данной командой все ID писем в очереди от отправителя info@pg.com
Далее пишем такой скриптик для облегчения очистки
#!/bin/bash
idlist=/tmp/mailmail
for a in $(cat $idlist)
do
/opt/zimbra/common/sbin/postsuper -d $a
done
Дожидаемся завершения процесса удаления писем из очередей)
Ребутаем сервер для того чтобы «отпустило» и наслаждаемся рабочей почтой)