September 12th, 2016

Взлома почты псто

У меня уже десять минут, У меня уже десять минут, как понедельник, но пусть будет пятница, ага?

Есть почтовый сервер (виртуалка) с Zimbra 8.6 и убунтой 14.04. На убунте белый ип.
И то и другое патченное.
Внезапно (с) в пятницу от мониторинга начали приходить письма на повышенный I/O и нехватку CPU на почтовом сервере.
Когда я добрался до консоли почтосерврера (которая к тому времени была уже в коматозе), то был... фраппирован. Ибо очередь на отправку была свыше 10к писем, активных - 2к. И всё это слалось с одним и тем же src address *@gmail.com
Понятно, что адрес (один) спамера был тут же забанен в iptables, а очередь мы почистили, но около 300к писем успело уйти (как потом оказалось, в два приема - первая волна была около полудня, вторая - часа в три дня), соответственно, релей улетел в кучу спам-листов, из которых его сейчас достать еще надо, что временами тот еще квест.

Отсюда вопрос - шо это было, бэрримор?
Релей, понятно, не открытый - аутентификация, TLS и вот это всё. Логов там примерно на 700 мегабайт, так что грепать нужно прицельно.

UPD:
В логах вообще странное:
Sep 9 12:22:49 telemail postfix/smtpd[13461]: connect from unknown[141.105.70.37]
Sep 9 12:22:49 telemail postfix/smtpd[13461]: Anonymous TLS connection established from unknown[141.105.70.37]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Sep 9 12:22:53 telemail postfix/smtpd[13461]: NOQUEUE: filter: RCPT from unknown[141.105.70.37]: i.project3415@gmail.com: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:100
26; from=i.project3415@gmail.com to=123deknight@gmail.com proto=ESMTP helo=Q5GUYSWWJJYC6WP.securedata.com
Sep 9 12:22:53 telemail postfix/smtpd[13461]: 5F41C2828C3: client=unknown[141.105.70.37], sasl_method=LOGIN, sasl_username=webmaster

141.105.70.37 - это адрес злодея
i.project3415@gmail.com - адрес отправителя, который ко мне никакого отношения не имеет от слова совсем

При этом анонимная отправка явно запрещена (кроме доверенных хостов) и проверку на open relay хост проходит.
Но как, Холмс?!