Linux Mail

Sendmail로 구축한 메일 서버 운영시 별도의 방화벽 정책이나 Relay 설정을 하지 않았다면 로컬 계정의 패스워드 취약점을 이용하여

스팸 메일 발송에 악용 당하는 경우가 종종 발생 합니다.

 

어떤 IP에서 어떤 메일 계정에 접속하여 스팸을 발송 하는지 아래와 같은 방법으로 확인 해볼 수 있습니다.

 

 

1. 메일 계정별 접속 횟수 통계로 확인

 

# zgrep "authid=" /var/log/maillog* | awk '{print $8}' | sort | uniq -c | grep authid | sort -r

79897 authid=tony,
     16 authid=bob,
      7 authid=sam,
      5 authid=tomas,

 

위 명령어는 메일 로그상 아웃룩 같은 메일 클라이언트 에서 정상적으로 계정에 로그인한 정보를 추출하여 각 계정별로 횟수를 측정하는 방법입니다.

결과에서 보이듯이 79897번의 접속이 측정된 tony 계정이 해킹 당한 것으로 추측할 수 있습니다.

 

 

2. IP별 접속 횟수 통계로 확인

 

# zgrep "authid=" /var/log/maillog* |  awk '{print $7}' | sort | grep relay |  uniq -c | sort -r

 

79944 relay=[174.136.57.35],
     74 relay=[61.130.119.48],
      4 relay=[121.135.253.58],
      3 relay=[121.135.253.95],

위 명령어는 1번과 비슷한 방식으로 IP 정보만 추출하여 접속 횟수를 측정 하는 방법입니다.

결과에서 보이듯이 174.136.57.35 IP에서 79944번의 접속이 이루어 졌음을 알 수 있습니다.

 

이제 스팸 발송 계정과 원인이 되는 Source IP를 찾았으니, 해당 계정의 패스워드 변경 및 원인 IP 차단 등의 조치를 진행 합니다.

번호 제목 글쓴이 날짜 조회 수
34 sendmail이 작동하지 않을 경우 호스트웨이 2015.09.30 563
33 보내고 받는 메일의 양 제한 조치 호스트웨이 2015.09.25 464
32 /var/spool/postfix/maildrop으로 로그가 계속 생길 때 호스트웨이 2015.09.12 1359
31 메일 서버 차단 방지 호스트웨이 2015.09.02 1057
30 sendmail을 이용한 RBL 참조 설정 호스트웨이 2012.11.23 733
29 qmailadmin 설치하기 호스트웨이 2012.11.22 508
28 /var/spool/clientmqueue 디렉토리의 용도 호스트웨이 2012.11.08 1990
27 sendmail에서 smtp 포트를 587포트로 변경하기 호스트웨이 2012.11.02 2143
26 sendmail에서 이메일 추가(생성)하기 호스트웨이 2012.10.19 1953
25 postfix 메일에서 queue 관리 호스트웨이 2012.09.28 2141
» Sendmail - Spam 발송 계정 및 IP 확인하기 호스트웨이 2012.09.14 8974
23 Linux sendmail 속도 빠르게 하는 방법 호스트웨이 2012.08.24 6779
22 리눅스 터미널에서 파일 첨부 하기 호스트웨이 2012.08.23 9089
21 리눅스에서 Spam 메일 방지법 호스트웨이 2012.08.03 5534
20 리눅스에서 /etc/aliases 를 이용하여 같은메일 여러 사용자가 수신 호스트웨이 2012.07.27 7503
19 Dovecot에서 “Error indexing mbox file (LF not found)” 에러 발생시 해결 방법 호스트웨이 2012.06.29 8148
18 Sendmail Queue에 쌓인 메일 강제 발송 호스트웨이 2012.06.15 11242
17 Exim 메일 큐 지우기 호스트웨이 2012.05.25 6414
16 ClamAV 백신 설치하기 호스트웨이 2012.05.11 6895
15 dovecot 에러 예제 호스트웨이 2012.03.27 7708