Zimbra

Guía para detectar y neutralizar ataques de una cuenta de correo institucional comprometida

Comandos útiles:

Ver que cuentas han sido comprometidas desde el log histórico:

less /var/log/zimbra.log | grep sasl_username

Se podrá identificar las cuentas comprometidas visualizando múltiples conexiones desde una IP externa

Luego de identificada la cuenta de correo se procede a cambiar la contraseña y cerrar la cuenta comprometida.

Cambiar contraseña cuenta

zmprov sp correo.vulnerado@fcdarwin.org.ec contraseñasegura

Cerrar cuenta zimbra

zmprov ma correo.vulnerado@fcdarwin.org.ec zimbraAccountStatus closed

Guia Eliminación de colas en FW Sophos

SOPHOS FIREWALL EN MODO MTA

Revisar Colas de correo en Firewall

exim -bp    // mostrar la cola de correos

exim -bpc 	// contar los correos en cola

exim -ql	-v	// liberar la cola de correos (despachar)  [cu ele]

Consultas en Base de datos de cola de correos (dashboard web)

psql -U nobody -d iviewdb -p 5433 -c "select count(*) from tblmailspool where (mail_from LIKE 'usuario@dominio.com.ec%' AND time_stamp::date <= '2022-02-03')";

Eliminar correos encolados de la Base de Datos (dashboard web)

psql -U nobody -d iviewdb -p 5433 -c "DELETE from tblmailspool where mail_from =";

psql -U nobody -d iviewdb -p 5433 -c "DELETE from tblmailspool where id in (select id from tblmailspool where (mail_from LIKE 'usuario@dominio.com.ec%' AND time_stamp::date <= '2022-02-03'))";

Listar el top N de correos en cola (dashboard view)

Top Remitentes:

psql -U nobody -d iviewdb -p 5433 -c "select mail_from, count(*) from tblmailspool group by mail_from order by count desc limit 10";

Top Destinatarios:

psql -U nobody -d iviewdb -p 5433 -c "select rcpt_to, count(*) from tblmailspool group by rcpt_to order by count desc limit 10"

Parámetros a configurar

Fecha en formato:		2022-02-29 
Buscar Remitente:		mail_from 
Buscar Destinatario:		rcpt_to 

Script para la eliminación de emails en cola real del correo:

Medio:script.docx