Introducción
Esta guía le ayuda a investigar y resolver incidentes en los que su ESA está enviando correos electrónicos salientes inesperados o no deseados. Describe los pasos prácticos y los comandos para identificar la fuente y detener el comportamiento.
Prerequisites
Componentes Utilizados
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Troubleshoot
Si sabe qué cuenta está enviando spam, se recomienda bloquearla inmediatamente. Si no se conoce la cuenta, realice una investigación utilizando el ESA para identificar la cuenta responsable y luego proceda a bloquearla.
Verificaciones de cola de trabajo
Si observa un gran número de correos electrónicos en la cola de trabajo y la velocidad de correo electrónico entrante supera significativamente la velocidad de correo saliente, esto indica un problema con la cola de trabajo. Puede utilizar el comando workqueue para revisar el estado y los detalles.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
Se conoce el remitente o el asunto de los correos electrónicos de la cola de trabajo
Si conoce el remitente o el asunto de los correos electrónicos que afectan a la cola de trabajo, se recomienda utilizar un filtro de mensajes. La aplicación de un filtro de mensajes permite al ESA procesar y realizar acciones con estos correos electrónicos en una fase anterior de la cola de trabajo, lo que hace que su eliminación sea más eficaz.
Puede utilizar el siguiente filtro para lograr esto:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'user@example.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Comprobación de cola de entrega
El comando tophosts muestra los hosts afectados actualmente. En un entorno activo, es posible que observe que un host de destinatario (como example.com) tiene un gran número de destinatarios activos en su cola de entrega, lo que indica el impacto.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 example.com 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0Si el host afectado es un dominio de destinatario desconocido y necesita más información antes de eliminar todos los correos electrónicos, puede utilizar los comandos show recipient, show message y deleterecipients. El comando showrecipientsproporciona detalles como el ID de mensaje (MID), el tamaño del mensaje, el número de intentos de entrega, el remitente del sobre, los destinatarios del sobre y el asunto del correo electrónico.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> example.com
En caso de que el MID sospechoso en la cola de entrega parezca legítimo, puede utilizar el comando show message para mostrar el origen del mensaje antes de realizar cualquier acción.
C370.lab> showmessage
Enter the MID to show.
[]> 123456789
Una vez que los correos electrónicos se confirman como spam, puede eliminarlos mediante el comando deleterecipientscommand. Este comando ofrece tres opciones para eliminar correos electrónicos de la cola de entrega: por remitente de sobre, por host de destinatario o todos los correos electrónicos de la cola de entrega.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]> user@example.com
Supervisión y acción proactivas
Regla de repetición de encabezado
La regla Repeticiones de encabezado se evalúa como true cuando, dentro de un período de una hora, se detecta un número especificado de mensajes que cumplen cualquiera de los siguientes criterios:
- Tienen el mismo tema.
- Provienen del mismo remitente del sobre.
La sintaxis de la regla es: header-repeats(<target>, <threshold> [, <direction>])
Para utilizar esta regla, inicie sesión en la CLI e implemente el filtro adecuado. Por ejemplo, puede crear un filtro para descartar correos electrónicos o notificar a un administrador cuando se alcance el umbral definido.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@example.com');
}
.
Información Relacionada
Comentarios