Рассылают спам с нашего сервера [Qmail]

Дмитрий · 2008-05-30T07:13:33.0000000Z

Добрый день Проблема заключается в том, что кто то из наших клиентов рассылает спам. Одного вычислили по большому исходящему траффику (это было видно в панели плеск), отключили ему почтовую службу, но спам не прекратился :(. Вообщем в плеске еще есть "очередь почтовых сообщений", там отображаются заголовки отправляемых писем. Во всех письмах присутствует заголовок аутлука, наверное клиенты троянов нацепляли. Хочу вычислить клиентов, но незнаю как это сделать. По логам qmail (нашел тут: /usr/local/psa/var/log/maillog) ничего внятного сказать нельзя: May 30 04:03:24 vXXXX qmail: 1212105804.656577 starting delivery 98368: msg 90375828 to remote justmslil@bellsouth.net May 30 04:03:24 vXXXX qmail: 1212105804.656637 status: local 0/10 remote 8/20 May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: Handlers Filter before-remote for qmail started ... May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: from=esp-refund@taxid7mku14i4.irs.gov May 30 04:03:24 vXXXX qmail-remote-handlers[29854]: to=justmslil@bellsouth.net May 30 04:03:25 vXXXX qmail: 1212105805.558532 delivery 98368: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/ May 30 04:03:25 vXXXX qmail: 1212105805.558597 status: local 0/10 remote 7/20 May 30 04:03:29 vXXXX qmail: 1212105809.035215 delivery 98352: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/ May 30 04:03:29 vXXXX qmail: 1212105809.035265 status: local 0/10 remote 6/20 May 30 04:03:29 vXXXX qmail: 1212105809.065180 starting delivery 98369: msg 90374818 to remote robinspu@ctaz.com May 30 04:03:29 vXXXX qmail: 1212105809.065210 status: local 0/10 remote 7/20 May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: Handlers Filter before-remote for qmail started ... May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: from= May 30 04:03:29 vXXXX qmail-remote-handlers[29928]: to=robinspu@ctaz.com May 30 04:03:29 vXXXX qmail: 1212105809.408481 delivery 98369: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/ Подскажите пожалуйста, что еще можно сделать? JonnyB добавил 30.05.2008 в 11:32 Извиняюсь, кажется вопрос все таки не в qmail, а sendmail. Qmail настроен как не open relay, а письма рассылаются не с наших доменов. На сервере лежат сайты, постороенные на собственноразработанной CMS, WordPress и отдельные скрипты. Как вычислить какой скрипт отсылает сообщения?

222

Дмитрий

30 мая 2008, 10:59

#11

Zaqwr, уж поправил, ошибка была в скрипте, сохраненным с переводами \r\n, так что путь понимался как #!/usr/bin/php\r.

JonnyB добавил 30.05.2008 в 15:33

Большое всем спасибо! враппер установлен, проблема теперь как на ладони..

Разрабатываю и автоматизирую на php http://jonnyb.ru/

54

UPL

30 мая 2008, 11:47

#12

JonnyB:
UPL, непонял про что вы(

Я про то как глобально решить проблему спамеров, что бы она даже и не возникала.

На всю площадку ставится 1 внешний SMTP сервер . С остальных айпи адресов почта блокируется. Клиентам выдается авторизация. И по юзернейму, если что, сразу быстро находится кто враг народа.

Свой дата-центр, Чехия. Каналы на Россию прямые и летают С2D 40евро 1Гб от 170 евро (http://www.upl.cz/v2/ru/) DiskaNet.ru - хранение файлов в облаке. Партерка -10%, до 15 Гб бесплатно (http://www.diskanet.ru/)

222

Дмитрий

30 мая 2008, 12:14

#13

Я про то как глобально решить проблему спамеров, что бы она даже и не возникала.
На всю площадку ставится 1 внешний SMTP сервер . С остальных айпи адресов почта блокируется. Клиентам выдается авторизация. И по юзернейму, если что, сразу быстро находится кто враг народа.

А если почта отслается скриптом, уходит через sendmail, как выявить врага?

54

UPL

30 мая 2008, 12:22

#14

JonnyB:
А если почта отслается скриптом, уходит через sendmail, как выявить врага?

php как cgi через suEXEC а далее по логам.

822

Andreyka

30 мая 2008, 15:49

#15

А от скриптов можно лимиты на сервере поставить

Не стоит плодить сущности без необходимости

Все что нужно знать о DDоS-атаках грамотному менеджеру

В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов