Spam Yapan ( Şifresi Çalınan ) Kullanıcıyı Tespit Etmek

Son kullanıcının, bilgisayarına virüs buluşmasıyla ya da sahte e-postalar (Phishing) ile şifresinin çalınması sonucu yapılan yüklü e-posta (spam) gönderimleri çoğunlukla sunucuların blackliste girmelerinin temel sebebidir. Her ne kadar farklı önlemlerle bu durum kısıtlanabilse de tamamen kontrol altına almak mümkün değildir. Durum gerçekleştiğinde şifresi ele geçirilen kullanıcıyı ne kadar erken tespit ederseniz, etkileri de o denli az olacaktır.

Zimbra da MTA ve sistem durum logları, postfix ve amavis logları /var/log/zimbra.log altında tutulmaktadır. Şifresi ele geçirilen kullanıcı gönderdiği e-postalar için düzenli olarak sisteme giriş yapmak zorunda olacağından en fazla giriş yapan kullanıcıyı tespit etmeniz yeterli olacaktır. Giriş yapan kullanıcının bilgisi sasl_username etiketi ile loglanır. Biz de komutumuzda önce logları sasl_username etiketine göre filtreliyoruz. Sonrasında sadece giriş yapan kullanıcının olduğu parçayı alıp kişi bazında grupluyor ve sayısına göre sıralıyoruz.
[dt_code]grep -a sasl_username= /var/log/zimbra.log |cut -d “,” -f 3 |sort |uniq -c | sort -n[/dt_code]

 

Komut çalıştırıldığında ekrana gelecek örnek ekran çıktısı;

[dt_code]2 sasl_username=ad.soyad@domain.com
15 sasl_username=ad.soyad2@domain.com
27 sasl_username=ad.soyad3@domain.com
30 sasl_username=ad.soyad4@domain.com
50 sasl_username=ad.soyad5@domain.com
9452 sasl_username=ad.soyad6@domain.com[/dt_code]

 

Ekran çıktısında da göreceğiniz gibi ad.soyad6@domain.com ile normal bir kullanıcının yapabileceği giriş sayısından gözle görülür şekilde fazla giriş yapılmıştır.

Zimbra, sunucuda daha az yer tüketmek için log dosyalarını günlük olarak sıkıştırarak saklar. Şayet aramanızı bu dosyalarda yapmanız gerekirse;

[dt_code]zgrep -a sasl_username= /var/log/zimbra.log-20170313.gz |cut -d “,” -f 3 |sort |uniq -c | sort -n[/dt_code]