1. 送信サーバーの停止
被害を広げないため、関係者に連絡したのち送信サーバーを停止します。
2. ログから状況を把握
送信できたか、できなかったのかを調べる
ログ内のstatus項目を参照する
送信できた(ただし相手がスパム判定したか不明)
cat /var/log/maillog | grep "status=sent"
送信できなかった
cat /var/log/maillog | grep "status=deferred"
送信で戻ってきたので再送信
cat /var/log/maillog | grep "status=bounced"
ログイン状況を調べる
SASLを利用したログイン認証
cat /var/log/maillog | grep "sasl_method=LOGIN, sasl_username="
cat /var/log/maillog | grep "sasl_method=PLAIN, sasl_username"
POP3のログイン認証
cat /var/log/maillog | grep "pop3-login: Login: user="
3. 乗っ取られている可能性があるアカウントのパスワードを変更します
関係者に連絡したのちパスワードを変更します
4. 残っているメールキューを確認します
パスワード変更しただけでは、再起動時にキューに残っているメールを送信してしまいますので不正な送信キューを削除しておきます。
キュー数を確認
mailq | wc -l
キューの詳細を確認
誰から誰に送ろうとしているのかがわかります
mailq
キューをすべて削除
# postsuper -d ALL
5. 送信サーバーを起動します
6. 送受信のテストを行います
7. スパムフィルタの判定状況を調べます
サーバーのIPアドレスなどを入力しチェックします。ブラックリストに入っていた場合は解除申請を行います。*Googleは解除まで時間がかかる
proofpoint
TrendMicro
FortiGate
Google Postmaster Tools