# AN1009 — Analytic 1009 ## Descrição Este analítico detecta flood de conexões ou volume excessivo de mensagens de entrada em servidores de e-mail Linux (Postfix, Sendmail, Exim) direcionados a um único destinatário, correlacionando com armazenamento repetitivo de anexos em `/var/mail` ou `/var/spool/mail` com temporização suspeita. A telemetria utilizada inclui logs do servidor de e-mail (`/var/log/mail.log`), contadores de fila do MTA e monitoramento de filesystem para criação acelerada de arquivos de e-mail em spool. Esta detecção é importante para identificar tanto ataques de mail bombing — usados para sobrecarregar caixas de entrada de vítimas de extorsão — quanto campanhas de phishing em massa direcionadas a servidores corporativos Linux. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1566-phishing|T1566 — Phishing]] - [[t1498-network-denial-of-service|T1498 — Network Denial of Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1204-user-execution|T1204 — User Execution]] --- *Fonte: [MITRE ATT&CK — AN1009](https://attack.mitre.org/detectionstrategies/DET0355#AN1009)*