Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    Update - not so sure it's malware anymore. Looking at my live SMTP Proxy log I noticed that this spam was authenticating to the mail server using a legit account that exists in my Open Directory, which ties into the Astaro for backend authentication. it was a test account and they must have discovered the password somehow. I've since deleted that test account and now all the messages are getting blocked. But I am still getting slammed with the requests which is blowing up my SMTP log and still slowing down the firewall. There's got to be some way to determine where this traffic is coming from?
  • 0 in reply to steagle
    If you were on 8.103, I'd tell you to enable Country Blocking in the Packet Filter and block Italy (unless you need email from there).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    We had some serious issues upgrading firmware in the past, that's why I've been riding out this one for as long as possible, but I might have to bite the bullet. As long as I can fully roll back to a previous firmware without any complications I'll definitely do it.

    In the meantime, any other suggestions with the tools I currently have?
  • 0 in reply to steagle
    You need to quarantine that mail server. You don't know if it is compromised internally or externally. It doesn't need to have a trojan on it if someone has full acess to it. How can someone from the outside send mail from your internal mail server? Is it exchange server or alike with web interface?
Reply
  • 0 in reply to steagle
    You need to quarantine that mail server. You don't know if it is compromised internally or externally. It doesn't need to have a trojan on it if someone has full acess to it. How can someone from the outside send mail from your internal mail server? Is it exchange server or alike with web interface?
Children
  • 0 in reply to Billybob
    It's a Dovecot mailserver running on Mac OS 10.6 Server. It does have a webmail interface via Squirrelmail frontend. The mail relays to the Astaro and users are authenticated via the LDAP link. 

    The good news is that I have stopped all the pirated mail, deleting that "test" account in LDAP they were using for authentication seemed to do the trick. So far today, the Astaro reports no email from/to those Italian domains, all traffic is my internal users. But now I'd like to block the SMTP requests entirely from these people. I'm going to keep doing malware checks on peoples' computers, but if there's something I can do at the firewall level to block this traffic before it ever hits SMTP that's what I'd like to do.
  • 0 in reply to steagle
    I am glad you have it under control now, as Bruce suggested, I would upgrade to 8.103 and publish that squirrel-mail with astaro waf and use country block.
Cookie Information Banner