Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    As soon as you get your maintenance subscription in place, you should ask your reseller to submit a support request to Astaro.  From your description, this doesn't sound like an Astaro issue, but they should confirm that.

    Are you checking outbound email?

    Don't I remember that you have multiple mail servers?  Is it unusual that someone without administrative priveleges on one of those servers could create new accounts?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    As soon as you get your maintenance subscription in place, you should ask your reseller to submit a support request to Astaro.  From your description, this doesn't sound like an Astaro issue, but they should confirm that.

    Are you checking outbound email?

    Don't I remember that you have multiple mail servers?  Is it unusual that someone without administrative priveleges on one of those servers could create new accounts?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Are you checking outbound email?


    Yes - I've got Apple's Server Admin up and am monitoring all IMAP/POP connections - which is not showing anything unusual - and also have Astaro's live SMTP log up, which is being flooded constantly with requests & errors from whoever is responsible for the exploit. (Predominantly the "cartasi@servizi.it" address)

    Don't I remember that you have multiple mail servers?  Is it unusual that someone without administrative priveleges on one of those servers could create new accounts?


    I actually only have one- a Dovecot server on an Apple Xserve running 10.6.6 Server. There is a 10.6.8 Server update available which has a lot of bug fixes so I am going to install it tonight on all 4 of my production Xserves. (Fingers crossed.) Potentially, these updates combined with updating Squirrelmail may help, but I'm always leery of large OS combined updates, often creates separate problems I didn't anticipate.
Cookie Information Banner