Comment arrêter une hémorragie lorsque la file d’attente se rempli de spam.
Verifier le nombre de message en queue:
1 |
exim -bpc |
En listant la file d’attente, on s’appercoit que tous les courriels douteux semble provenir d’un domaine en particulier:
1 2 3 4 5 6 |
13m 643 1WfreXEK-00s2Li-Rx <muf@ZZZ.com> aaa@yahoo.com bbb@hotmail.com ccc@hotmail.com ddd@gmail.com eee@yahoo.com |
Le domaine en question est donc ZZZ.com
Verifier dans le log de exim de quel compte viens l’attaque:
1 |
tail -f /var/log/exim_mainlog | grep ZZZ.com |
2014-06-05 08:45:14 1WsX2g-00038q-4Z <= toz@ZZZ.com H=95-86-245-23.pppoe.yaroslavl.ru (owzeihumdqk) [95.86.245.23]:61133 P=esmtpa A=dovecot_login:user@ZZZ.com S=700 id=LVCBRSW4-FWYY-FQHQ-GJUY-ZRIMBYB5HVEE@ZZZ.com T=”” for malithkavinda500@gmai
L’entrée qui nous interresse est A=dovecot_login:user@ZZZ.com
– On change le mot de passe du user
– On suspend le compte du client
– On Restart le service de mail
Nettoyage de la file d’attente:
On freeze tous les message douteux
1 |
exiqgrep -i -f @ZZZ.com | xargs exim -Mf |
On les efface ensuite:
1 |
exiqgrep -z -i | xargs exim -Mrm |