Daca se constata ca pe server-ul de email ajung o serie de emailuri bounce ciudate ca raspuns la unele mesaje care nu au putut fi livrate catre destinatar, este foarte posibil ca un cont de email sa fie compromis. Acelasi motiv poate sa fie si la baza faptului ca server-ul de email este listat intr-o baza de date antispam (ex: www.barracudacentral.org).
Din interfata Plesk > Tools & Settings > Mail Server Settings > Mail Queue se pot identifica adresele de email suspecte (expeditori sau destinatari). La click pe unul din mesaje se va deschide o fereastra de detaliile din header-ul email-ului. Aici gasim adresa IP de la care s-a trimis email-ul:
Aceste informatii pot fi obtinute si din linie de comanda. Mai intai se identifica adresa de email suspecta:
[root@web log]# /var/qmail/bin/qmail-qread 29 Apr 2016 18:00:50 GMT #11014259 847013 <paul_sourcing@inbox.com.de> remote khan.shanavas@pgp.ae
Pe baza id-ului #11014259 se obtin informatii despre adresa IP de pe care s-a transmis acel email:
[root@web log]# find /var/qmail/queue -name 11014259| xargs cat | less
Sau, mai elegant, folosind qmHandle:
[root@web log]# /var/qmail/bin/qmHandle -m11014259 | less
Rezultatul este aproximativ identic:
Received: (qmail 3549 invoked from network); 29 Apr 2016 18:00:50 +0300 Received: from realprizesandgiveaways.shiftcode.com (HELO inbox.com.de) (45.58.115.24)
Stiind adresa IP 45.58.115.24 de unde s-a realizat conectarea la server-ul de email putem afla contul de email cu care s-a realizat aceasta conectare. Informatia se obtine din fisierul log al qmail:
[root@web log]# cat /var/log/maillog | grep 45.58.115.24 Apr 30 07:43:44 smtp_auth[9701]: SMTP connect from unknown@ [45.58.115.24] Apr 30 07:43:44 smtp_auth[9701]: SMTP user user@web.ro logged in from unknown@ [45.58.115.24]
Contul de email compromis este user@web.ro – solutia este schimbarea parolei acestuia.
Leave a Reply