Прощу помочь! Спам с нашего домена

Разбираться с хостером - есть ли сам с сервера. Логи смотреть - кто и как спамит.

Первая история (фейковое мыло спаммеров) может быть ни как не связана со второй (спам с хостинга). Или же хостер просто не разобравшись, а только по реквестам/абузам предупреждение накатал.

ЗЫ. Напрасно ты тот ящик сделал.

Спасибо за ответ, тот ящик уже удалил...снова сыпятся на основной.. не думал что такая жесть может быть.. просто чтобы основной ящик не засорялся подумал, что пусть туда капает.

Написал хостингу, что у моего домена SPF и DKIM, а у тех писем нет. Жду их ответ

Странно, получается любой сайт можно завалить так легко.. спам с фейка и абузы хостингу..Неужели никак не остановить если с фейкового?

Неужели. Вы же письма не показывали и поэтому можно долго фантазировать что там на самом деле.

Скажу только, что и Hetnzer не обязательно правильно разбирается в ситуации.

Достаточно было правило на удаление/спам настроить :)

Отправить с подделаным адресом не сложно. Вот почему хостер среагировал - это вопрос.

Возможно ему начались сыпаться абузы от получателей спама, а он не стал разбираться - домен у него и всё.

Но может быть и совсем не зависимая история с первой - возможно реально идёт спам с хостинга. Вот с эти надо разобраться как можно быстрее. Логи смори. Или проси хостера, что бы помог разобраться откуда спам и действительно ли он имеет место быть.

Вот это что они прислали с абузой.

[spoiler]

his is an email abuse report for an email message received from IP 71.37.129.196 on 1 Jun 2016

>

>

> Arrival-Date: 1 Jun 2016

> Source-IP: 71.37.129.196

> Version: 1.0

> User-Agent: UOL Feedback Loop 1.0

> Feedback-Type: abuse

>

>

> Received: from outbound-bu1.vgs.untd.com (supportmail01.vgs.untd.com [10.181.43.21])

> by spamdesk02.vgs.untd.com with SMTP id AABMXA43JASHQJDS

> for <eow-spam@livespamdesk.prod.untd.com> (sender <scanmail_failures@mua.nyc.untd.com>);

> Thu, 2 Jun 2016 10:21:44 -0700 (PDT)

> Received: (qmail 6636 invoked by uid 514); 2 Jun 2016 17:21:44 -0000

> X-Issue-Tag: .catch_spam_mail

> Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com

> Received: from outbound-mail.vgs.untd.com (webmail03.vgs.untd.com [10.181.12.143])

> by supportmail01.vgs.untd.com with SMTP id AABMXA4Y7A56QX72

> for <spamdesk-spam@support.netzero.com> (sender <X>);

> Thu, 2 Jun 2016 10:20:29 -0700 (PDT)

> X-EOW-USER-IP: 64.129.214.19

> Received: from mx02.dca.untd.com (mx02.dca.untd.com [10.171.44.32])

> by maildeliver12.vgs.untd.com with SMTP id AABMW8ZARALEWSV2

> for <X> (sender <webmaster@мойдомен.ru>);

> Wed, 1 Jun 2016 15:05:03 -0700 (PDT)

> Authentication-Results: mx02.dca.untd.com; DKIM=NONE

> Received-SPF: SoftFail

> Received: from мойдомен (мойглавныйящик.yandex.ru [71.37.129.196])

> by mx02.dca.untd.com with SMTP id AABMW8ZAPA2YMBRJ

> for <X> (sender <webmaster@ мойдомен.ru>);

> Wed, 1 Jun 2016 15:05:02 -0700 (PDT)

> Received: from [204.34.116.187] (helo=BNFS1)

> by мойдомен.ru with esmtpa (Exim 4.80)

> (envelope-from <webmaster@ мойдомен.ru>)

> id 1b8EG2-0004TL-Mm

> for X; Thu, 02 Jun 2016 02:04:59 +0400

> From: "American Express" <amex@memberservice.com>

> To: X

> Date: Wed, 1 Jun 2016 17:56:43 -0400

> MIME-Version: 1.0

> Message-Id: <E1b8EG2-0004TL-Mm@ мойдомен.ru>

> Sender: webmaster@ мойдомен.ru

> X-UNTD-BodySize: 106746

> X-UNTD-SPF: SoftFail

> X-UNTD-DKIM: NONE

> X-ContentStamp: 8:4:224405347

> X-MAIL-INFO: 026dd01070391d1d1d7050a1f924a4f91da5d0a5d4d1cd25454df589a90d34b5819530a9b0c5b5b0a504f0f5958df991ddf9f980ad717914a5a01dd0d5

> X-UNTD-Peer-Info: 71.37.129.196 |мойглавныйящик.yandex.ru| мойдомен.ru|webmaster@ мойдомен.ru

> X-UNTD-UBE: -1

> Subject: Confirm your online account Ref # [173ah06e3PO09n2r]

> X-Juno-Message-Id: 17ah06e3PO09n2r06Bt

> X-Other-threads: Yes

> X-Thread-Count: 1

> X-UNTD-SPAMDESK-TYPE: EOW-SPAM

> X-UNTD-STORE-INFO: CRC:8:4:2240205347

>

> BNFS1

> Message-ID: <708762855252.49253@ мойглавныйящик.yandex.ru>

> Content-type: Multipart/alternate;

> boundary="1F5D2F77_1D62DCAD_skokcmx_boundary"

> Content-Description: Multipart message

>

> --1F5D2F77_1D62DCAD_skokcmx_boundary

> Content-type: text/plain; charset=ISO-8859-1

> Content-Transfer-Encoding: Quoted-printable

> Content-Disposition: inline

> Content-Description: Message text

[/spoiler]

Написал, в хостинг чтобы помогли разобраться.. что у наших писем есть SPF и DKIM а у этих нет

Там фигурирует постоянно этот несуществующий ящик webmaster@мойдомен.ru

Если будут какие то еще мысли, буду очень благодарен!

---------- Добавлено 02.06.2016 в 22:24 ----------

Блин я в логах ничерта не понимаю, что хотя бы там искать, не затруднит ли Вас подсказать 😕

понимаю, что на танке ездить не научиться по книжке, но хотя бы глянуть вдруг увижу что то

Обнаружил что webmaster это системный ящик на сервере.

зашел ssh и через mailq посмотрел что висит вообще, пару тысяч писем висело, тоесть отправка идет получается с сервера и это не фейки

Как я понял отправка идет через exim4, сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто.

Также сделал netstat -apn | grep :25 и там established , это значит вредоносный скрипт рассылает?

в мейнлоге такие записи как раз отправки сегодня ночью

Какие логи могут показать как идет спам, тоесть как найти через что рассылается?

Заранее огромное спасибо

2016-06-03 06:26:42 1b8BWt-0000hF-Hv Message is frozen

2016-06-03 06:26:42 1b8XPo-0008GM-89 Message is frozen

2016-06-03 06:26:42 1b7sob-0003Qk-Rr Unfrozen by errmsg timer

2016-06-03 06:26:53 1b7sob-0003Qk-Rr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920813-ZTeWtIN4SN-QhdqZYbb

2016-06-03 06:26:53 1b7sob-0003Qk-Rr webmaster@мойдомен.ru: error ignored

2016-06-03 06:26:53 1b7sob-0003Qk-Rr Completed

2016-06-03 06:26:54 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:26:54 1b7T7E-0002jh-3i == diapurk@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:12 1b7raF-0004eb-Pu mail.merle-norman.net [77.95.250.10] Connection timed out

2016-06-03 06:27:12 1b7raF-0004eb-Pu == ptaylor@merle-norman.net R=dnslookup T=remote_smtp defer (110): Connection timed out

2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru

2016-06-03 06:27:28 1b8epM-0000zo-Vr ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [67.250.250.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920848-G3fkY08rbT-RDxK4V5l

2016-06-03 06:27:28 1b8epM-0000zo-Vr Frozen (delivery error message)

2016-06-03 06:27:28 1b8T92-0006s0-A7 Message is frozen

2016-06-03 06:27:28 1b8Cju-0000Pi-6e Message is frozen

2016-06-03 06:27:29 1b88Gq-0006Mc-RB == ray@professionalstreetsports.org R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:29 1b8TWN-0002eF-Mf Message is frozen

2016-06-03 06:27:29 1b8WZl-0002h5-Nj Message is frozen

2016-06-03 06:27:29 1b89s5-0000Fh-UG Message is frozen

2016-06-03 06:27:29 1b7SRI-0000TV-Q0 SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1

2016-06-03 06:27:29 1b7SRI-0000TV-Q0 == clydemarymartin@aol.com R=dnslookup T=remote_smtp defer (0): SMTP error from remote mail server after initial connection: host mailin-04.mx.aol.com [152.163.0.100]: 421 4.7.1 : (DYN:T1) https://postmaster.aol.com/error-codes#421dynt1

2016-06-03 06:27:29 1b8epd-000105-Ew <= <> R=1b7SRI-0000TV-Q0 U=Debian-exim P=local S=1343 from <> for webmaster@мойдомен.ru

2016-06-03 06:27:40 1b8epd-000105-Ew ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [213.150.204.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920860-QDyr0QFhIe-RTZWN2bT

2016-06-03 06:27:40 1b8epd-000105-Ew Frozen (delivery error message)

2016-06-03 06:27:40 1b8Hvb-0003X5-DO Message is frozen

2016-06-03 06:27:40 1b8DoC-0001RC-Ae Message is frozen

2016-06-03 06:27:40 1b8FQT-0003HM-JX Message is frozen

2016-06-03 06:27:40 1b8DGZ-0007IR-N5 Message is frozen

2016-06-03 06:27:40 1b8Ub2-0003p3-7Z == caluckyme@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8G5a-00088a-Hs Message is frozen

2016-06-03 06:27:40 1b8XPo-0008GM-89 Message is frozen

2016-06-03 06:27:40 1b8D6m-0005zP-Br == januuka@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8WRT-0001xv-5d Spool file is locked (another process is handling this message)

2016-06-03 06:27:40 1b8AZJ-0003z4-KM == genenyac@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b8YMZ-0004ok-Kd Message is frozen

2016-06-03 06:27:40 1b8EgM-0007cj-AL Message is frozen

2016-06-03 06:27:40 1b7S9f-0008GK-E1 == cesawyer@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:40 1b7pBf-0000hi-8o Unfrozen by errmsg timer

2016-06-03 06:27:51 1b7pBf-0000hi-8o ** webmaster@мойдомен.ru R=dnslookup T=remote_smtp: SMTP error from remote mail server after end of data: host mx.yandex.ru [77.88.21.89]: 554 5.7.1 Message rejected under suspicion of SPAM; https://yandex.ru/support/mail/spam/honest-mailers.xml 1464920671-dpnUR8Uvda-Rf2SPIiB

2016-06-03 06:27:51 1b7pBf-0000hi-8o webmaster@мойдомен.ru: error ignored

2016-06-03 06:27:51 1b7pBf-0000hi-8o Completed

2016-06-03 06:27:51 1b8XSt-0008UZ-Ar Message is frozen

2016-06-03 06:27:51 1b8BUh-0000Zp-RQ Message is frozen

2016-06-03 06:27:52 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b8UYN-0003If-EP Message is frozen

2016-06-03 06:27:52 1b8Yz1-0001U3-0B Message is frozen

2016-06-03 06:27:52 1b8Bh4-0001vh-42 Message is frozen

2016-06-03 06:27:52 1b8Vzt-0004sO-Rw Message is frozen

2016-06-03 06:27:52 1b8TGj-0007ik-HX Message is frozen

2016-06-03 06:27:52 1b8HzR-0003pQ-Du Message is frozen

2016-06-03 06:27:52 1b8I81-0004b5-Ls Message is frozen

2016-06-03 06:27:52 1b8X65-0006oy-OQ Message is frozen

2016-06-03 06:27:52 1b8Aqh-0005lw-O8 Message is frozen

2016-06-03 06:27:52 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b8XEN-0007Ll-Id Message is frozen

2016-06-03 06:27:52 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:52 1b89zA-0001PO-Im Message is frozen

2016-06-03 06:27:52 1b8Y7u-0003GH-GX Message is frozen

2016-06-03 06:27:52 1b7rpr-0006Kh-N4 == mfelini@alcoholics-anonymous.com routing defer (-51): retry time not reached

2016-06-03 06:27:52 1b7qmf-0008Fx-Su Unfrozen by errmsg timer

2016-06-03 06:27:57 1b8WRT-0001xv-5d mail.co.seneca.ny.us [24.105.183.131] Connection timed out

2016-06-03 06:27:57 1b8WRT-0001xv-5d == spinckney@co.seneca.ny.us R=dnslookup T=remote_smtp defer (110): Connection timed out

2016-06-03 06:27:57 1b8Ch2-0008Kr-BM Message is frozen

2016-06-03 06:27:57 1b8CuF-0002Mp-QN Message is frozen

2016-06-03 06:27:57 1b67zI-0005Fk-EH Message is frozen

2016-06-03 06:27:57 1b8XSt-0008UZ-Ar Message is frozen

2016-06-03 06:27:57 1b89lX-0004Ip-By == acarolynsue8@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b7snd-0003MK-H0 == denton1969@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b8FP9-0003A7-2D Message is frozen

2016-06-03 06:27:57 1b8UZ1-0003O8-1v Message is frozen

2016-06-03 06:27:57 1b8Vzt-0004sO-Rw Message is frozen

2016-06-03 06:27:57 1b8TGj-0007ik-HX Message is frozen

2016-06-03 06:27:57 1b8HzR-0003pQ-Du Message is frozen

2016-06-03 06:27:57 1b8DZc-0008Am-2B Message is frozen

2016-06-03 06:27:57 1b8FsE-0005x9-Sr Message is frozen

2016-06-03 06:27:57 1b8Aqh-0005lw-O8 Message is frozen

2016-06-03 06:27:57 1b8XwL-0002Lg-AI Message is frozen

2016-06-03 06:27:57 1b7pek-0002l6-5D == bscloyd@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b8XEN-0007Ll-Id Message is frozen

2016-06-03 06:27:57 1b8ESm-000633-5d == danfromvan@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b7quB-0000J4-4D == chascottage@aol.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host

2016-06-03 06:27:57 1b89rs-0000EB-Jn Message is frozen

2016-06-03 06:27:57 1b7qmf-0008Fx-Su Spool file is locked (another process is handling this message)

2016-06-03 06:27:57 1b8YNz-0004xI-6R Message is frozen

2016-06-03 06:27:57 1b8AvN-00064n-BQ Message is frozen

в реджект логах exim увидел еще такое, почти все письма идут с нескольких ip, может их заблокировать? или это фигня и ip могут меняться

2016-06-03 00:17:11 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ipa-hu@ipa-iac.org>: Sender rate overlimit - 989.0 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <tcrooks1@aol.com>: Sender rate overlimit - 987.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <djohnson@hollywoodfl.org>: Sender rate overlimit - 988.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:19 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ossaman@pacbell.net>: Sender rate overlimit - 989.8 / 1h / webmaster@мойдомен

2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <rono@law.stetson.edu>: Sender rate overlimit - 990.6 / 1h / webmaster@мойдомен

2016-06-03 00:17:20 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <david.gambill@oscn.net>: Sender rate overlimit - 991.5 / 1h / webmaster@мойдомен

2016-06-03 00:17:21 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <ultraslanhakan___@hotmail.com>: Sender rate overlimit - 992.2 / 1h / webmaster@мойдомен

2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <info@nursefamilypartnership.org>: Sender rate overlimit - 991.1 / 1h / webmaster@мойдомен

2016-06-03 00:17:29 H=(VPS164) [69.28.248.165] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <facebook@largeanimal.com>: Sender rate overlimit - 992.1 / 1h / webmaster@мойдомен

2016-06-03 00:17:32 H=(BNFS1) [204.93.116.187] F=<amex@memberservice.com> A=cram:webmaster@мойдомен rejected RCPT <schnurrbryan@lcsdevelopmentics.com>: Sender rate overlimit - 992.4 / 1h / webmaster@мойдомен

Вам яндекс все правильно написал. Они пару недель назад ужесточили политику DMARC. Теперь письма до бесплатных почтовых сервисов с левым "From" просто не будут доходить.

С хостером нечего решать! Достаточно показать что вся рассылка идет не с вашего сервера.

так в том то и дело что походу от нас идут письма (насколько я понял)

я через mailq увидел что в отправке на сервере висело несколько тысяч писем, а webmaster@domain это ящик как оказалось, который указан на сервере как админ ящик. Выше логи выложил. Пытаюсь понять как увидеть каким образом, через что идет рассылка , в логах по сути ничего.

Единственное что 2016-06-03 06:27:13 1b8epM-0000zo-Vr <= <> R=1b7raF-0004eb-Pu U=Debian-exim P=local S=1145 from <> for webmaster@мойдомен.ru

тоесть рассылка как я понимаю идет с сервера раз локал, но откуда вообще не понятно также сделал в php.ini mail.add_x_header = On и mail.log путь, но пока пусто

Buildbuildd, если не используется функция mail, то не добавится заголовок. Попробуйте необычные процессы найти и удалить. Может там perl, который никуда не делся или обычные бинарные программы. Все эти способы, разумеется, игнорируют настройки php.

К сожалению, нечего больше определенного добавить.