webmail (horde) - user spam

Azt hitem, ilyesmi nem lehetséges. Pedig de.
12 éve üzemeltetek mail szervert, kb 1000 user a többségük csak webmail, de még sosem kerültem feketelistára. Eddig.
sme server (CentOS alapú contribs.org) csak mail/webmail-re használom. Kényelmes webes admin, spam szűrés stb.
Tegnap millió levél kifelé:
Received: from localhost (HELO localhost) (127.0.0.1)

és hosszas keresgélés után az egyik felhasználó elküldött üzenetei között ott a 700 db levél mindegyikben több 100 Bcc.
Biztos hogy nem ő küldte. A logban ilyenek:

Apr 8 14:15:38 sme HORDE[30623]: [imp] Login success for USERX [185.17.159.168] to {localhost:143 [imap/notls]} [pid 30623 on line 307 of "/home/httpd/html/horde/imp/lib/Session.php"]
Apr 8 14:15:41 sme HORDE[30374]: [imp] Login success for USERX [79.172.242.183] to {localhost:143 [imap/notls]} [pid 30374 on line 307 of "/home/httpd/html/horde/imp/lib/Session.php"]
Apr 8 14:17:44 sme HORDE[14447]: [imp] 79.172.242.248 Az Ön Levelezés kapcsolatának kezdete óta megváltozott az internet címe. Biztonságának érdekében ismét be kell jelentkeznie. [pid 14447 on line 67 of "/home/httpd/html/horde/imp/login.php"]

nem tudom milyen gépen lépett be, de lehet ilyen vírus? Vagy e-mail-ben kapott valamilyen veszélyes linket, és horde hibát kihasználó weboldalra navigált amikor be volt jelentkezve?

update:
nem horde, hanem felhasználó hiba. "Kedves e-mail felhasználók" tárgyú, gépi fordítású, szinte halandzsa levélben egy linkre kattint a felhasználó és ott megadja az e-mail címét, jelszavát. És küldi a spamet. Hogy ki csinál ilyen őrültséget? Eddig 1200 felhasználóból 3.

( matula99 | 2014. 04. 09., sze – 21:46 )

ilyenkor szerencse, hogy nagyon vékony sávon van, így észrevettem a munin-on a gyanús forgalmat, leállítottam a qmail-t és töröltem a leveleket.

( elod v | 2014. 04. 09., sze – 21:47 )

Nálam is van egy jópár kompromitált kontó, pár hónapja rendszeresen visszatérnek és smtp-n keresztül nyomják.

Ezt úgy kell elképzelni, mint azokat a cuccokat amik lopják az ftp jelszavakat a total commander-ből aztán szépen lecserélgetik a file-okat rajta. Van ilyen webmail-re, google fiókra, facebookra, phpmyadmin-ra, meg minden népszerűbb platformra, amivel pénzt/további botot tudnak gyártani.

// Happy debugging, suckers
#define true (rand() > 10)

az ilyeneknel atbillentem az adatbazisban az smtp_allowed mezot 'N'-re, oszt akkor nyugi van.

ha valaki nem ismerne : postfix / sender_login_maps pici sql select komboval :
query=SELECT concat( username, ',' other_smtp_user, IFNULL(email_alias,'') ) from users where username='%s' and smtp_allowed='Y'

a szigorubb (webmail) verzioban localhostrol sem fogadok el levelet auth nelkul, igy ervenyre jut a peruser szigoritas.

nálunk amennyiben kompromittálódik egy mail cím, és a jelszava, arra fel van véve egy értesítési mobilszám és egy gombnyomásra megy ki arra az új jelszó + a miért változott, ha nem olvassa el akkor ij + webes felület ahol mindent be tud állítani persze az two factor auth.

üdv

Balooo

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

( csardij v | 2014. 04. 10., cs – 09:08 )

Próbáld ki a CSF-et, abban van olyan funkció ami figyeli azt, hogyha hirtelen túl sok levél megy ki és értesít azonnal.

( Frantique v | 2014. 04. 10., cs – 12:37 )

Nem ártana egy olyan policy-t bevezetni,hogy x naponta kötelező legyen a jelszócsere. Nagy valószínűséggel az inkriminált juzer jelszava valahogy kikerült. Onnan meg szabad az út, mivel legálisan azonosítva küldi a maileket a rosszakaró.

--
Coding for fun. ;)

ha kikerült volna akkor nem csak akkor lenne spamküldés amikor ő valóban valahonnan bejelentkezik. Amikor online a felhasználó csak akkor aktív. Ezért gondoltam, hogy a kliens böngésző, vagy vírus csinálja. Részlet a levélből:
Received: from 186-242-webenlet.hu (186-242-webenlet.hu [79.172.242.186])
by domainem (Horde Framework) with HTTP; Tue, 08 Apr 2014 11:33:05
+0200
Message-ID: <20140408113305.27754ak6vldrwevl@domainem>
Date: Tue, 08 Apr 2014 11:33:05 +0200
From: Sparkasse
To: undisclosed-recipients:;
Subject: Sparkasse.de Bank-Alert Ihre Internet-Banking gesperrt
MIME-Version: 1.0
Content-Type: text/plain;
charset=ISO-8859-2;
DelSp="Yes";
format="flowed"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Bcc: sok, sok e-mail cím, de végződés
....

( matula99 | 2014. 04. 12., szo – 00:20 )

Az alábbi furcsa levéllel kezdődött talán a sztori. A felhasználó valószínűleg a linkre kattintott. Később ezt a levelet IS küldte spamként a felhasználó. Ez a levél 7.én az Inboxban van, 10.én pedig az elküldöttek között. Valakinek nem ismerős az alábbi:
(a http után én tettem szóközt)

Received: from 84.33.17.160 ([84.33.17.160]) by domainem (Horde
Framework) with HTTP; Wed, 09 Apr 2014 10:35:22 +0200
Message-ID: <20140409103522.17631q6z10j7xtfu@domainem>
Date: Wed, 09 Apr 2014 10:35:22 +0200
From: webmail =?iso-8859-1?b?YWRtaW5pc3p0cuF0b3I=?= 2014

To: undisclosed-recipients:;
Subject: Kedves E-mail =?iso-8859-1?b?ZmVsaGFzem7hbPNp?=
MIME-Version: 1.0
Content-Type: text/plain;
charset=ISO-8859-1;
DelSp="Yes";
format="flowed"
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Bcc: hilbecks@gmail.com

Kedves e-mail felhasználók;

Túllépte 23432 Repository postafiók szett
Web Szolgáltatások / manager, és a problémák küldés és
irányítani levél fogadása közben. Meg kell frissíteni
Kattints az alábbi linkre és töltse ki az adatokat, hogy ellenőrizze a számla.

Kérjük, kattintson az alábbi linkre, hogy frissítse a tálcát bejegyzést.

http: //webmailsupport188.jimdo.com/

Figyelem!
Ha igen, akkor nem csak korlátozott hozzáférést a postafiók.
Ha nem frissíti fiókját három napon belül
frissíteni értesítés, akkor véglegesen kizárják venni.