Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2010 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Hacked, SMTP full, CPU@100%

knebroski
One of our users had their email account hacked, I was out all day and now there are over 400,000 email messages sitting in out queue.

Is there a way to delete them all?  There may be valid emails in the queue!!

Is there a way to delete them all without sending another email to the end user saying that they were deleted by the admin?


This thread was automatically locked due to age.
Parents
  • 0
    With that volume, I think I'd suspect a virus on someone's PC rather than a hacked account, so you might want to review the SMTP Proxy configuration.  On the 'Relaying' tab, your mail server(s) should be the only thing(s) in 'Host-based relay'.  On the 'Advanced' tab, 'Use transparent mode' should not be checked.

    Maybe Astaro Support can help you.  If not, you're limited to using Mail Manager to delete a thousand at a time after selecting only those containing the subject of the spam or the address of the infected user.

    In any case, the only way I know to prevent the Astaro from continuing to deliver email in the queue as long as it's connected to the internet is via the console or SSH as root. The following will allow you to be connected while preventing receipt or delivery of all email until you execute the second command:

    /var/mdw/scripts/smtp stop

    /var/mdw/scripts/smtp start



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks Bob,
    I'm pretty sure the box is setup the way you've described.  The user in question is not an internal type, but their email account is on our server.  I have logged a call with Astaro and hopefully they can do something.

    I've deleted the user email account and it looks like (based on the smtp log) that the user is still sending messages, it looks like it's an exchange type email but our mail server is Linux based.

    Any ideas as to where to look for the hole or where the emails are being generated from?  The log shows that the email is originating from the email server (IP address is logged).
    Kevin
Reply
  • 0 in reply to BAlfson
    Thanks Bob,
    I'm pretty sure the box is setup the way you've described.  The user in question is not an internal type, but their email account is on our server.  I have logged a call with Astaro and hopefully they can do something.

    I've deleted the user email account and it looks like (based on the smtp log) that the user is still sending messages, it looks like it's an exchange type email but our mail server is Linux based.

    Any ideas as to where to look for the hole or where the emails are being generated from?  The log shows that the email is originating from the email server (IP address is logged).
    Kevin
Children
No Data
Cookie Information Banner