朝起きるとそこには大量のエラーメールがありました。
どうやら、管理下のメールアドレスから大量にスパムメールが送信され、
存在しないメールアドレスに送信したメールや、
相手にスパムとして判定されたメールが戻ってきているようです。
問題のメールアドレスは幸いにも(?)使われていないアドレスであったので、
メールアカウントが乗っ取られたということになります。
そこで、今回行なった
メールサーバーで管理下のメールアカウントが乗っ取られた時の
対応をまとめておきます。
環境
アカウントのパスワードを変更
対応している間にも常にスパムメールが送られてしまうので、
まずはアカウントを使えないようにしましょう。
ということで、アカウントのパスワードを変更します。
sudo passwd [アカウント名]
今回は使われていないダミーのアカウントだったので、
勝手にパスワードを変更するだけでOKでした。
利用中のアカウントであれば、パスワード変更後、
アカウントの乗っ取りが検出されたので、
パスワードを再設定した旨を知らせる必要があったでしょう。
サーバー上のファイルの確認
メールアカウントが乗っ取られたということは、
サーバにアクセスして不正なファイルが置かれる可能性もあります。
外からのアクセスは遮断していましたが、
念の為、当該アカウントのディレクトリ上に不審なファイルがないか確認します。
こちらは大丈夫そうでした。
キューに溜まったメールを削除する
パスワードの変更でスパムメールの送信は止まりましたが、
送信に失敗したスパムメールがキューに溜まった状態になっているので、
それらのメールを削除します。
キュー内のメールは下のコマンドで確認できます。
sudo postqueue -p
が、大量にあるので手作業で一つづつ消すのは無理そうでした。
下のコマンドでは、キューにあるメールから、
乗っ取りにあった「送信元アドレス」のメールのIDを抽出して、
postsuper -dでそれらのメールを削除しています。
sudo postqueue -p | grep [送信元アドレス] | awk '{print $1}' | sed "s/\*//g" | xargs -I{} sudo postsuper -d {}
再度sudo postqueue -pで、
問題のスパムメールがキューから消えていることを確認します。
まとめ
管理下のメールアカウントが乗っ取られた時に、
メールサーバー上で行なった対応をまとめました。
今回は幸いにも誰も使っていないメールアドレスでしたが、
パスワードポリシーを厳しくするなどして、
簡単には破られないように運用する必要がありますね。
