被黑的邮件服务器

摆弄qmail，那是好多年以前的事情
很早以前搭的一套系统，最近垃圾邮件问题严重
第一次去看，已经在前段部署了一个邮件防火墙，没看出个所以然
以为是默认退信机制导致的长队列
改了改配置，就让把防火墙去了

今天又被叫去，防火墙一去，邮件服务器就挂了
简单的排查了下
smtp认证的正常的，open relay是关闭的
怀疑qmail的安全性是不现实的，那么还剩的可能性就是帐号被垃圾邮件商盗用

排查具体被盗的帐号很繁杂
可以通过日志，邮件原文，找到攻击的ip地址
通过ip地址找被盗帐号，不容易
一般来说，垃圾邮件服务器的连接地址有很多
每当其中一个成功发送邮件后，会更新被盗帐号的lastauth文件
对于用户不太多的MTA，可以比对更新最频繁的lastauth
否则的话，就要收集所有的lastauth，再跟所有的垃圾邮件服务器ip比对

太久没写脚本，所以过程很山寨，就不写了
不过这台mta已经发了近一天的垃圾邮件，被很多mta ban了。。。
所以，对邮件服务器状态的监控也挺重要，简单的监控每天发送邮件的数量
就能很好的发现问题