Как выявить факт взлома пользовательского почтового ящика?

Question

[beetlezilla]

Имеется почтовый сервер postfix+dovecot+spamassassin. Периодически путём брутфорса подбирают пароль к почтовым ящикам. После нескольких фактов взлома были настроены следующие параметры

1. anvil_rate_time_unit 24h
   
2. smtpd_client_message_rate_limit 1000
   

Количество отправляемых писем и отбойников, пришедших на них, существенно сократилось. Но вместе с тем теперь стало сложнее фиксировать сами факты взлома.

Возможно ли сделать оповещение администраторов почтового сервера о достижении лимита отправленных писем за заданный период?

Answer 1

[Дмитрий]

Поставить fail2ban на мониторинг почтового лога и банить те IP с которых совершено более 5-10 неверных попыток входа в минтуту.

Comments

[beetlezilla]

Это нужно для пресечения взлома. А мне нужно решение, которое будет показывать именно достижение лимита отправляемых писем, чтобы затем можно было выяснить, сам ли пользователь это делает, вирус ли, или его взломали.

[Александр Черных]

@Tabletko
Это не панацея. Бот терь умный пошел. Долбится 1 попытка с одного адреса

Answer 2

[alexander]

Не красиво, но - тупо парсить лог и считать нужные цифры. После анализа цифр слать письмо админам.