Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    My knowledge of hacking is fairly limited, but it doesn't seem out of the question that someone could script that.
    Unless someone is specifically targeting you, 99+% of the time, these things are automated using pre-canned tools.

    Unfortunately, you've found out the hard way that Apple Mac stuff being more secure is a myth.  

    If it were me, I'd be getting Apple, Dovecot, and SquirrelMail support involved because they seem to be exploiting some sort of vulnerability.  I'd guess Squirrel may be the culprit, being the front-end.  Seems that each of their updates has quite a few security fixes.  Were you running the latest, 1.4.22?

    Since they seem to be able to send through different accounts on your server/mail server, you'd best plan on doing a rebuild after you find out how they got in.  Who knows what they've injected into the server(s).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    My knowledge of hacking is fairly limited, but it doesn't seem out of the question that someone could script that.
    Unless someone is specifically targeting you, 99+% of the time, these things are automated using pre-canned tools.

    Unfortunately, you've found out the hard way that Apple Mac stuff being more secure is a myth.  

    If it were me, I'd be getting Apple, Dovecot, and SquirrelMail support involved because they seem to be exploiting some sort of vulnerability.  I'd guess Squirrel may be the culprit, being the front-end.  Seems that each of their updates has quite a few security fixes.  Were you running the latest, 1.4.22?

    Since they seem to be able to send through different accounts on your server/mail server, you'd best plan on doing a rebuild after you find out how they got in.  Who knows what they've injected into the server(s).
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
  • 0 in reply to Scott_Klassen
    Unless someone is specifically targeting you, 99+% of the time, these things are automated using pre-canned tools.

    Unfortunately, you've found out the hard way that Apple Mac stuff being more secure is a myth.  

    If it were me, I'd be getting Apple, Dovecot, and SquirrelMail support involved because they seem to be exploiting some sort of vulnerability.  I'd guess Squirrel may be the culprit, being the front-end.  Seems that each of their updates has quite a few security fixes.  Were you running the latest, 1.4.22?

    Since they seem to be able to send through different accounts on your server/mail server, you'd best plan on doing a rebuild after you find out how they got in.  Who knows what they've injected into the server(s).


    From the server side, I don't see anything unusual going on in the mail server. I'm monitoring all IMAP & POP connections and I only see legitimate, authenticated employees. The email accounts that I'm finding through the Astaro SMTP & mail logs do not exist anywhere on the mail server. Good point about Squirrelmail though. I'm using the NutsMail interface specifically (still uses the Squirrelmail engine) and I'll have to check to see what version I'm on and upgrade if necessary. Pretty sure it's 1.4.0. I might also need to tighten up the webmail config, I'll check that asap. Thanks for the insight.
Cookie Information Banner