Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23626 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    Hi Steagle,
    I used to have this kind of problem.
    1- Check the relay hosts for malwares (boot net’s)
    2- Open smtp live log to see where the messages come from
    a. If the messages come from internal address it may be a infected computer
    b. If the connections coming from outside check the authentication logs and check careful the smtp headers to find which account (used) is being used to relay. Many user use weak password like 123456 or the e-mail name and is easy to hack. Reset their password.
    The outgoing scan sometimes works well but others not.
    Resume:
    Most of this kind of behavior are relay host infected or e-mail account compromised
    I hope this help.
Reply
  • 0
    Hi Steagle,
    I used to have this kind of problem.
    1- Check the relay hosts for malwares (boot net’s)
    2- Open smtp live log to see where the messages come from
    a. If the messages come from internal address it may be a infected computer
    b. If the connections coming from outside check the authentication logs and check careful the smtp headers to find which account (used) is being used to relay. Many user use weak password like 123456 or the e-mail name and is easy to hack. Reset their password.
    The outgoing scan sometimes works well but others not.
    Resume:
    Most of this kind of behavior are relay host infected or e-mail account compromised
    I hope this help.
Children
  • 0 in reply to anwar.gani
    b. If the connections coming from outside check the authentication logs and check careful the smtp headers to find which account (used) is being used to relay. Many user use weak password like 123456 or the e-mail name and is easy to hack. Reset their password


    The interesting thing is that my live authentication log looks perfectly normal. It does not show any one user authenticating more than usual. All the users are legitimate employees in Open Directory sending normal work mail.
Cookie Information Banner