Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    Anytime I see a horror story like this, I wonder if the SMTP Proxy is in "Transparent" mode.  I know there may be a reason to use the proxy transparently, but I can't imagine it being anything other than for testing... even then!

    The other question would be how they got in where they were able to authenticate against the mail server with the "test" account.  What settings do you have on your mail server that might lock an account for a time after several failed passwords in a defined period?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hey Bob, definitely do not have SMTP in transparent mode. In my Open Directory environment I have it set to disable login after 4 failed password attempts. How they got in I have no idea - perhaps they were using a sophisticated query tool that took common directory names & password combinations with test emails until one succeeded? My knowledge of hacking is fairly limited, but it doesn't seem out of the question that someone could script that. 

    At any rate, my success in blocking the spam seems only temporary, as over the weekend the logs show me that at least a dozen new email accounts were sending mail on our server. CPU usage remains at 100% almost all day. I'm still not sure if this is the result of a malware intrusion - my scans have come up negative on all workstations so far. 

    I'm waiting for my reseller to get me a maintenance subscription renewal so I can get the latest firmware installed and tested. The Astaro US division has been extremely slow in getting back to us, which isn't helping matters.
Reply
  • 0 in reply to BAlfson
    Hey Bob, definitely do not have SMTP in transparent mode. In my Open Directory environment I have it set to disable login after 4 failed password attempts. How they got in I have no idea - perhaps they were using a sophisticated query tool that took common directory names & password combinations with test emails until one succeeded? My knowledge of hacking is fairly limited, but it doesn't seem out of the question that someone could script that. 

    At any rate, my success in blocking the spam seems only temporary, as over the weekend the logs show me that at least a dozen new email accounts were sending mail on our server. CPU usage remains at 100% almost all day. I'm still not sure if this is the result of a malware intrusion - my scans have come up negative on all workstations so far. 

    I'm waiting for my reseller to get me a maintenance subscription renewal so I can get the latest firmware installed and tested. The Astaro US division has been extremely slow in getting back to us, which isn't helping matters.
Children
No Data
Cookie Information Banner