MDaemon邮件服务器被攻击!?

    上周五刚上班,我接到朋友的电话,急冲冲的跟我说他们的邮件服务器无法收发邮件了,就连内网都不能收发了。连上服务器一看傻眼了,几乎每个队列里都有成千上万的堵塞,点击MDaemon的任何菜单和界面都没有响应了,能收发邮件才怪了。

    这种问题一看就是因为队列阻塞导致的不能收发,立即结束MDaemon的进程,重命名MDaemon下的queues文件夹。然后重新启动MDaemon邮件系统,进出的邮件马上就可以处理了,效果很显著。但是很好奇,为什么队列里会有这么多的阻塞,为了看个明白,把本地队列和远程队列都冻结了,这样mdaemon邮件服务器就会放在队列里,不会马上处理,这样就可以用来分析邮件了。下面的截图是远程队列的截图(从本地MDaemon邮件服务器发送出去的放在远程队列里)

MDaemon邮件服务器被攻击!? 

    这个就奇怪了,既然是从maemon本地邮件服务器发送出去的,怎么发件人不是自己域的,收件人也不是自己域的,甚至连转发也不是我们自己域的。先别管这么多了,先打开看看在说,截图如下。

 

MDaemon邮件服务器被攻击!?

     我们在外面看上去是smo利用163邮箱发送的,但是实际上通过认证的是X-Authenticated-Sender后面的那个本地域的用户,账号被别人拿来利用,肯定就是账号和密码被人晓得了。那个X-MDremonteIP是攻击者的远程IP地址,在这里我就不为他保密了,谁让他攻击我们的邮件服务器了,呵呵

    问朋友那个人账号的密码是不是很简单,朋友告诉说初始密码很简单,估计他们没有改密码。让朋友把账号导出来看,果然都是清一色的123456,无语......立即采取:1、凡是123456的账号密码统统修改掉;2、把队列里乱七八糟的邮件删除;3、/安全---安全设置---smtp验证---勾选  当邮件来自本地时需要验证。

    小提示:1、queues是MDaemon的队列文件夹,关闭MDaemon重命名queues,启动MDaemon时会自动生成。2、在服务器端勾选了smtp验证之后,客户端outlook上一定要勾选我的服务器要求验证。3、我们在跟用户初始密码的时候一定要够强壮,谨记切记^_^



本文转自 kity_bie 51CTO博客,原文链接:http://blog.51cto.com/19281928/520581

上一篇:邮件服务被攻击之——后续问题


下一篇:精简SQL语句 提高MySQL服务器的扩展性