- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Друзья, добрый день!
Прошу помощи! У нас есть доменная почта ( через яндекс ), домен имеет SFP и DKIM подписи.
Где то недели 3 назад начал сыпаться в папку "спам" письма с заголовками mail delivery "письмо не может быть доставлено" отправитель был webmaster@мойдомен.ru
Данного ящика у нас никогда не было в природе.
Написал в яндекс, они ответили, что спамят анонимно видимо и указывают Вас как отправителя, не обращайте внимание, скоро закончат. После этого я создал этот ящик (webmaster@мойдомен.ru) чтобы письма о недоставке сыпались туда ну и забил.
Сегодня получил абузу от хостинга, мол вы рассылаете спам и вирусы, если не прекратится, то заблокируем вас, решайте вопрос (хетзнер). Зашел в тот ящик Webmaster, а там 10к писем висят в спаме, с темами virus чек, please stop spam итд
Посмотрел, вроде письма спамные имеют > Authentication-Results: mx02.dca.untd.com; DKIM=NONE Received-SPF: SoftFail тоесть это спуфинга как и сказал яндексю
Друзья, что делать? Куда писать ? Просто жесть какая то происходит если уже хостинг грозится нас заблокировать ..
Заранее благодарю за время, помощь и ответы!
Что делать? Куда писать ?
Разбираться с хостером - есть ли сам с сервера. Логи смотреть - кто и как спамит.
Первая история (фейковое мыло спаммеров) может быть ни как не связана со второй (спам с хостинга). Или же хостер просто не разобравшись, а только по реквестам/абузам предупреждение накатал.
ЗЫ. Напрасно ты тот ящик сделал.
Разбираться с хостером - есть ли сам с сервера. Логи смотреть - кто и как спамит.
Первая история (фейковое мыло спаммеров) может быть ни как не связана со второй (спам с хостинга). Или же хостер просто не разобравшись, а только по реквестам/абузам предупреждение накатал.
ЗЫ. Напрасно ты тот ящик сделал.
Спасибо за ответ, тот ящик уже удалил...снова сыпятся на основной.. не думал что такая жесть может быть.. просто чтобы основной ящик не засорялся подумал, что пусть туда капает.
Написал хостингу, что у моего домена SPF и DKIM, а у тех писем нет. Жду их ответ
Странно, получается любой сайт можно завалить так легко.. спам с фейка и абузы хостингу..Неужели никак не остановить если с фейкового?
Странно, получается любой сайт можно завалить так легко.. спам с фейка и абузы хостингу..Неужели никак не остановить если с фейкового?
Неужели. Вы же письма не показывали и поэтому можно долго фантазировать что там на самом деле.
Скажу только, что и Hetnzer не обязательно правильно разбирается в ситуации.
просто чтобы основной ящик не засорялся подумал, что пусть туда капает.
Достаточно было правило на удаление/спам настроить :)
Странно, получается любой сайт можно завалить так легко.. спам с фейка и абузы хостингу..Неужели никак не остановить если с фейкового?
Отправить с подделаным адресом не сложно. Вот почему хостер среагировал - это вопрос.
Возможно ему начались сыпаться абузы от получателей спама, а он не стал разбираться - домен у него и всё.
Но может быть и совсем не зависимая история с первой - возможно реально идёт спам с хостинга. Вот с эти надо разобраться как можно быстрее. Логи смори. Или проси хостера, что бы помог разобраться откуда спам и действительно ли он имеет место быть.
Разбираться с хостером - есть ли сам с сервера. Логи смотреть - кто и как спамит.
Первая история (фейковое мыло спаммеров) может быть ни как не связана со второй (спам с хостинга). Или же хостер просто не разобравшись, а только по реквестам/абузам предупреждение накатал.
ЗЫ. Напрасно ты тот ящик сделал.
Неужели. Вы же письма не показывали и поэтому можно долго фантазировать что там на самом деле.
Скажу только, что и Hetnzer не обязательно правильно разбирается в ситуации.
Вот это что они прислали с абузой.
[spoiler]
his is an email abuse report for an email message received from IP 71.37.129.196 on 1 Jun 2016
>
>
> Arrival-Date: 1 Jun 2016
> Source-IP: 71.37.129.196
> Version: 1.0
> User-Agent: UOL Feedback Loop 1.0
> Feedback-Type: abuse
>
>
> Received: from outbound-bu1.vgs.untd.com (supportmail01.vgs.untd.com [10.181.43.21])
> by spamdesk02.vgs.untd.com with SMTP id AABMXA43JASHQJDS
> for <eow-spam@livespamdesk.prod.untd.com> (sender <scanmail_failures@mua.nyc.untd.com>);
> Thu, 2 Jun 2016 10:21:44 -0700 (PDT)
> Received: (qmail 6636 invoked by uid 514); 2 Jun 2016 17:21:44 -0000
> X-Issue-Tag: .catch_spam_mail
> Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com
> Received: from outbound-mail.vgs.untd.com (webmail03.vgs.untd.com [10.181.12.143])
> by supportmail01.vgs.untd.com with SMTP id AABMXA4Y7A56QX72
> for <spamdesk-spam@support.netzero.com> (sender <X>);
> Thu, 2 Jun 2016 10:20:29 -0700 (PDT)
> X-EOW-USER-IP: 64.129.214.19
> Received: from mx02.dca.untd.com (mx02.dca.untd.com [10.171.44.32])
> by maildeliver12.vgs.untd.com with SMTP id AABMW8ZARALEWSV2
> for <X> (sender <webmaster@мойдомен.ru>);
> Wed, 1 Jun 2016 15:05:03 -0700 (PDT)
> Authentication-Results: mx02.dca.untd.com; DKIM=NONE
> Received-SPF: SoftFail
> Received: from мойдомен (мойглавныйящик.yandex.ru [71.37.129.196])
> by mx02.dca.untd.com with SMTP id AABMW8ZAPA2YMBRJ
> for <X> (sender <webmaster@ мойдомен.ru>);
> Wed, 1 Jun 2016 15:05:02 -0700 (PDT)
> Received: from [204.34.116.187] (helo=BNFS1)
> by мойдомен.ru with esmtpa (Exim 4.80)
> (envelope-from <webmaster@ мойдомен.ru>)
> id 1b8EG2-0004TL-Mm
> for X; Thu, 02 Jun 2016 02:04:59 +0400
> From: "American Express" <amex@memberservice.com>
> To: X
> Date: Wed, 1 Jun 2016 17:56:43 -0400
> MIME-Version: 1.0
> Message-Id: <E1b8EG2-0004TL-Mm@ мойдомен.ru>
> Sender: webmaster@ мойдомен.ru
> X-UNTD-BodySize: 106746
> X-UNTD-SPF: SoftFail
> X-UNTD-DKIM: NONE
> X-ContentStamp: 8:4:224405347
> X-MAIL-INFO: 026dd01070391d1d1d7050a1f924a4f91da5d0a5d4d1cd25454df589a90d34b5819530a9b0c5b5b0a504f0f5958df991ddf9f980ad717914a5a01dd0d5
> X-UNTD-Peer-Info: 71.37.129.196 |мойглавныйящик.yandex.ru| мойдомен.ru|webmaster@ мойдомен.ru
> X-UNTD-UBE: -1
> Subject: Confirm your online account Ref # [173ah06e3PO09n2r]
> X-Juno-Message-Id: 17ah06e3PO09n2r06Bt
> X-Other-threads: Yes
> X-Thread-Count: 1
> X-UNTD-SPAMDESK-TYPE: EOW-SPAM
> X-UNTD-STORE-INFO: CRC:8:4:2240205347
>
> BNFS1
> Message-ID: <708762855252.49253@ мойглавныйящик.yandex.ru>
> Content-type: Multipart/alternate;
> boundary="1F5D2F77_1D62DCAD_skokcmx_boundary"
> Content-Description: Multipart message
>
> --1F5D2F77_1D62DCAD_skokcmx_boundary
> Content-type: text/plain; charset=ISO-8859-1
> Content-Transfer-Encoding: Quoted-printable
> Content-Disposition: inline
> Content-Description: Message text
[/spoiler]
Написал, в хостинг чтобы помогли разобраться.. что у наших писем есть SPF и DKIM а у этих нет
Там фигурирует постоянно этот несуществующий ящик webmaster@мойдомен.ru
Если будут какие то еще мысли, буду очень благодарен!
---------- Добавлено 02.06.2016 в 22:24 ----------
Достаточно было правило на удаление/спам настроить :)
Отправить с подделаным адресом не сложно. Вот почему хостер среагировал - это вопрос.
Возможно ему начались сыпаться абузы от получателей спама, а он не стал разбираться - домен у него и всё.
Но может быть и совсем не зависимая история с первой - возможно реально идёт спам с хостинга. Вот с эти надо разобраться как можно быстрее. Логи смори. Или проси хостера, что бы помог разобраться откуда спам и действительно ли он имеет место быть.
Блин я в логах ничерта не понимаю, что хотя бы там искать, не затруднит ли Вас подсказать 😕
понимаю, что на танке ездить не научиться по книжке, но хотя бы глянуть вдруг увижу что то
Обнаружил что webmaster это системный ящик на сервере.
зашел ssh и через mailq посмотрел что висит вообще, пару тысяч писем висело, тоесть отправка идет получается с сервера и это не фейки
Как я понял отправка идет через exim4, сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто.
Также сделал netstat -apn | grep :25 и там established , это значит вредоносный скрипт рассылает?
в мейнлоге такие записи как раз отправки сегодня ночью
Какие логи могут показать как идет спам, тоесть как найти через что рассылается?
Заранее огромное спасибо
2016-06-03 06:26:42 1b8BWt-0000hF-Hv Message is frozen
2016-06-03 06:26:42 1b8XPo-0008GM-89 Message is frozen
2016-06-03 06:26:42 1b7sob-0003Qk-Rr Unfrozen by errmsg timer
2016-06-03 06:26:53 1b7sob-0003Qk-Rr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920813-ZTeWtIN4SN-QhdqZYbb
2016-06-03 06:26:53 1b7sob-0003Qk-Rr webmaster@мойдомен.ru: error ignored
2016-06-03 06:26:53 1b7sob-0003Qk-Rr Completed
2016-06-03 06:26:54 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:26:54 1b7T7E-0002jh-3i == diapurk@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:12 1b7raF-0004eb-Pu mail.merle-norman.net [77.95.250.10] Connection timed out
2016-06-03 06:27:12 1b7raF-0004eb-Pu == ptaylor@merle-norman.net R=dnslookup T=remote_smtp defer (110): Connection timed out
2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru
2016-06-03 06:27:28 1b8epM-0000zo-Vr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920848-G3fkY08rbT-RDxK4V5l
2016-06-03 06:27:28 1b8epM-0000zo-Vr Frozen (delivery error message)
2016-06-03 06:27:28 1b8T92-0006s0-A7 Message is frozen
2016-06-03 06:27:28 1b8Cju-0000Pi-6e Message is frozen
2016-06-03 06:27:29 1b88Gq-0006Mc-RB == ray@professionalstreetsports.org R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:29 1b8TWN-0002eF-Mf Message is frozen
2016-06-03 06:27:29 1b8WZl-0002h5-Nj Message is frozen
2016-06-03 06:27:29 1b89s5-0000Fh-UG Message is frozen
2016-06-03 06:27:29 1b7SRI-0000TV-Q0 SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
2016-06-03 06:27:29 1b7SRI-0000TV-Q0 == clydemarymartin@aol.com R=dnslookup T=remote_smtp defer (0): SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1
2016-06-03 06:27:29 1b8epd-000105-Ew <= <> R=1b7SRI-0000TV-Q0 U=Debian-exim P=local S=1343 from <> for webmaster@мойдомен.ru
2016-06-03 06:27:40 1b8epd-000105-Ew ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [213.150.204.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920860-QDyr0QFhIe-RTZWN2bT
2016-06-03 06:27:40 1b8epd-000105-Ew Frozen (delivery error message)
2016-06-03 06:27:40 1b8Hvb-0003X5-DO Message is frozen
2016-06-03 06:27:40 1b8DoC-0001RC-Ae Message is frozen
2016-06-03 06:27:40 1b8FQT-0003HM-JX Message is frozen
2016-06-03 06:27:40 1b8DGZ-0007IR-N5 Message is frozen
2016-06-03 06:27:40 1b8Ub2-0003p3-7Z == caluckyme@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:40 1b8G5a-00088a-Hs Message is frozen
2016-06-03 06:27:40 1b8XPo-0008GM-89 Message is frozen
2016-06-03 06:27:40 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:40 1b8WRT-0001xv-5d Spool file is locked (another process is handling this message)
2016-06-03 06:27:40 1b8AZJ-0003z4-KM == genenyac@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:40 1b8YMZ-0004ok-Kd Message is frozen
2016-06-03 06:27:40 1b8EgM-0007cj-AL Message is frozen
2016-06-03 06:27:40 1b7S9f-0008GK-E1 == cesawyer@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:40 1b7pBf-0000hi-8o Unfrozen by errmsg timer
2016-06-03 06:27:51 1b7pBf-0000hi-8o ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [77.88.21.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920671-dpnUR8Uvda-Rf2SPIiB
2016-06-03 06:27:51 1b7pBf-0000hi-8o webmaster@мойдомен.ru: error ignored
2016-06-03 06:27:51 1b7pBf-0000hi-8o Completed
2016-06-03 06:27:51 1b8XSt-0008UZ-Ar Message is frozen
2016-06-03 06:27:51 1b8BUh-0000Zp-RQ Message is frozen
2016-06-03 06:27:52 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:52 1b8UYN-0003If-EP Message is frozen
2016-06-03 06:27:52 1b8Yz1-0001U3-0B Message is frozen
2016-06-03 06:27:52 1b8Bh4-0001vh-42 Message is frozen
2016-06-03 06:27:52 1b8Vzt-0004sO-Rw Message is frozen
2016-06-03 06:27:52 1b8TGj-0007ik-HX Message is frozen
2016-06-03 06:27:52 1b8HzR-0003pQ-Du Message is frozen
2016-06-03 06:27:52 1b8I81-0004b5-Ls Message is frozen
2016-06-03 06:27:52 1b8X65-0006oy-OQ Message is frozen
2016-06-03 06:27:52 1b8Aqh-0005lw-O8 Message is frozen
2016-06-03 06:27:52 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:52 1b8XEN-0007Ll-Id Message is frozen
2016-06-03 06:27:52 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:52 1b89zA-0001PO-Im Message is frozen
2016-06-03 06:27:52 1b8Y7u-0003GH-GX Message is frozen
2016-06-03 06:27:52 1b7rpr-0006Kh-N4 == mfelini@alcoholics-anonymous.com routing defer (-51): retry time not reached
2016-06-03 06:27:52 1b7qmf-0008Fx-Su Unfrozen by errmsg timer
2016-06-03 06:27:57 1b8WRT-0001xv-5d mail.co.seneca.ny.us [24.105.183.131] Connection timed out
2016-06-03 06:27:57 1b8WRT-0001xv-5d == spinckney@co.seneca.ny.us R=dnslookup T=remote_smtp defer (110): Connection timed out
2016-06-03 06:27:57 1b8Ch2-0008Kr-BM Message is frozen
2016-06-03 06:27:57 1b8CuF-0002Mp-QN Message is frozen
2016-06-03 06:27:57 1b67zI-0005Fk-EH Message is frozen
2016-06-03 06:27:57 1b8XSt-0008UZ-Ar Message is frozen
2016-06-03 06:27:57 1b89lX-0004Ip-By == acarolynsue8@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:57 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:57 1b8FP9-0003A7-2D Message is frozen
2016-06-03 06:27:57 1b8UZ1-0003O8-1v Message is frozen
2016-06-03 06:27:57 1b8Vzt-0004sO-Rw Message is frozen
2016-06-03 06:27:57 1b8TGj-0007ik-HX Message is frozen
2016-06-03 06:27:57 1b8HzR-0003pQ-Du Message is frozen
2016-06-03 06:27:57 1b8DZc-0008Am-2B Message is frozen
2016-06-03 06:27:57 1b8FsE-0005x9-Sr Message is frozen
2016-06-03 06:27:57 1b8Aqh-0005lw-O8 Message is frozen
2016-06-03 06:27:57 1b8XwL-0002Lg-AI Message is frozen
2016-06-03 06:27:57 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:57 1b8XEN-0007Ll-Id Message is frozen
2016-06-03 06:27:57 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:57 1b7quB-0000J4-4D == chascottage@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host
2016-06-03 06:27:57 1b89rs-0000EB-Jn Message is frozen
2016-06-03 06:27:57 1b7qmf-0008Fx-Su Spool file is locked (another process is handling this message)
2016-06-03 06:27:57 1b8YNz-0004xI-6R Message is frozen
2016-06-03 06:27:57 1b8AvN-00064n-BQ Message is frozen
в реджект логах exim увидел еще такое, почти все письма идут с нескольких ip, может их заблокировать? или это фигня и ip могут меняться
2016-06-03 00:17:11 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ipa-hu@ipa-iac.org>: Sender rate overlimit - 989.0 / 1h / webmaster@мойдомен
2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <tcrooks1@aol.com>: Sender rate overlimit - 987.8 / 1h / webmaster@мойдомен
2016-06-03 00:17:19 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <djohnson@hollywoodfl.org>: Sender rate overlimit - 988.8 / 1h / webmaster@мойдомен
2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ossaman@pacbell.net>: Sender rate overlimit - 989.8 / 1h / webmaster@мойдомен
2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <rono@law.stetson.edu>: Sender rate overlimit - 990.6 / 1h / webmaster@мойдомен
2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <david.gambill@oscn.net>: Sender rate overlimit - 991.5 / 1h / webmaster@мойдомен
2016-06-03 00:17:21 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ultraslanhakan___@hotmail.com>: Sender rate overlimit - 992.2 / 1h / webmaster@мойдомен
2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <info@nursefamilypartnership.org>: Sender rate overlimit - 991.1 / 1h / webmaster@мойдомен
2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <facebook@largeanimal.com>: Sender rate overlimit - 992.1 / 1h / webmaster@мойдомен
2016-06-03 00:17:32 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <schnurrbryan@lcsdevelopmentics.com>: Sender rate overlimit - 992.4 / 1h / webmaster@мойдомен
Вам яндекс все правильно написал. Они пару недель назад ужесточили политику DMARC. Теперь письма до бесплатных почтовых сервисов с левым "From" просто не будут доходить.
С хостером нечего решать! Достаточно показать что вся рассылка идет не с вашего сервера.
так в том то и дело что походу от нас идут письма (насколько я понял)
я через mailq увидел что в отправке на сервере висело несколько тысяч писем, а webmaster@domain это ящик как оказалось, который указан на сервере как админ ящик. Выше логи выложил. Пытаюсь понять как увидеть каким образом, через что идет рассылка , в логах по сути ничего.
Единственное что 2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru
тоесть рассылка как я понимаю идет с сервера раз локал, но откуда вообще не понятно также сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто
Buildbuildd, если не используется функция mail, то не добавится заголовок. Попробуйте необычные процессы найти и удалить. Может там perl, который никуда не делся или обычные бинарные программы. Все эти способы, разумеется, игнорируют настройки php.
К сожалению, нечего больше определенного добавить.