我是一家小企业的系统管理员。
尽管我提出了很多建议,但我们公司的安全政策相当松散...... :-)
我无法控制客户端桌面上安装的内容。
我想设置一个监视器 - 至少 - 警告(例如通过电子邮件)垃圾邮件来自我们的域......(过去已经发生过问题...... :-()
我目前已经来到这个命令:
tcpdump -v -s 1500 -i eth0 port 25 2> /dev/null | grep --line-buffered 'smtp: S' | perl -MPOSIX -pe 'print strftime "%F %T", localtime; print " "; s/(.*?\)) (.*?)\.\d+ \>(.*)/$2/;'
它只是打印出到端口 25 的每个连接(时间戳和客户端名称)。
我可以对此输出执行可靠的检查以识别 SMTP 滥用吗?
或者,有没有更好的方法来解决这个问题?
最佳答案
我们只是在防火墙处阻止 SMTP,除了知道好的邮件服务器。然后所有离开网络的电子邮件都必须通过邮件服务器并由某个用户进行身份验证。如果您不在本地托管邮件服务器,您可以简单地阻止所有 SMTP 并完成。在邮件服务器上,如果您使用他们提供的 header 获取有关这方面的报告,您可以更轻松地缩小谁在发送垃圾邮件。
关于networking - tcpdump:如何监控来自 LAN 的 SMTP 流量滥用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20570939/