メールサーバに新しいメールが入ってこない、というので調査したら、特定ユーザのメールパスワードがばれていてSPAM送信に使われていたという時のメモ
(1) 落ちてるデーモンはいなかった
systemctl --failed
を実行した際に止まっているものはいなかった
(2) メールのキューに異常
postfixのメールキューの状態を確認
# postqueue -p
数万通のメールが滞留していた
差出人はほぼ1ユーザで、宛先は方々にわたる
(3) メール配送停止
ひとまず、postfixのメール配送処理を止める
# postfix abort
(4) ログ確認
/var/log/messagesと/var/log/maillog に対して そのユーザ名でgrepをかけて確認
roudcubeのログにて、roundcube内から多数のメールアドレスを指定してメール送信していることを確認
(5) アクセス者IPアドレス確認
ログから該当する操作のIPアドレスを確認し、そのアドレスがどこなのかを確認
今回は3IPアドレスからきており、どれも海外
(6) あからさまにSPAMを削除
今回特定の時間帯の送信は全部SPAMっぽかったので以下のコマンドで該当ユーザのメールをpostsuper -d queueIDで削除
# for queid in `postqueue -p|grep "Jun 24 04" |grep ユーザ名|awk '{ print $1 }' | sed s/\*//ig`; do postsuper -d $queid; done
あと、MAILER-DAEMON関連の返送処理も削除
# for queid in `postqueue -p|grep MAILER|awk '{ print $1 }' | sed s/\*//ig`; do postsuper -d $queid; done
