Форум Сайтостроение Администрирование серверов

Postfix и рассылка спама

humbert
На сайте с 16.03.2006
Offline
527
humbert
2499

maillog

JJun 16 15:44:49 mail postfix/pickup[28314]: B400014C0086: uid=48 from=<johnnie_leblanc@mydomain.ru>
Jun 16 15:44:49 mail postfix/cleanup[28478]: B400014C0086: message-id=<20130616114449.B400014C0086@mail.mydomain.ru>
Jun 16 15:44:49 mail postfix/qmgr[28313]: B400014C0086: from=<johnnie_leblanc@mydomain.ru>, size=665, nrcpt=1 (queue active)
Jun 16 15:44:50 mail postfix/pickup[28314]: 36F1214C0097: uid=48 from=<hester_ayers@mydomain.ru>
Jun 16 15:44:50 mail postfix/cleanup[28462]: 36F1214C0097: message-id=<20130616114450.36F1214C0097@mail.mydomain.ru>
Jun 16 15:44:50 mail postfix/qmgr[28313]: 36F1214C0097: from=<hester_ayers@mydomain.ru>, size=703, nrcpt=1 (queue active)
Jun 16 15:44:50 mail postfix/smtp[28334]: B400014C0086: to=<sdd111@blueyonder.co>, relay=p.nsm.ctmail.com[216.163.188.57]:25, delay=0.83, delays=0.01/0/0.49/0.33, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 0F93F3E856B41)
Jun 16 15:44:50 mail postfix/qmgr[28313]: B400014C0086: removed
Jun 16 15:44:50 mail postfix/pickup[28314]: DDCCF14C0086: uid=48 from=<johnnie_leblanc@mydomain.ru>
Jun 16 15:44:50 mail postfix/cleanup[28448]: DDCCF14C0086: message-id=<20130616114450.DDCCF14C0086@mail.mydomain.ru>
Jun 16 15:44:50 mail postfix/qmgr[28313]: DDCCF14C0086: from=<johnnie_leblanc@mydomain.ru>, size=683, nrcpt=1 (queue active)
Jun 16 15:44:51 mail postfix/smtp[28396]: D73AF14C0061: to=<seyedhassanmousavi@yahoo.com>, relay=mta5.am0.yahoodns.net[98.136.216.25]:25, delay=2.2, delays=0.01/0/0.51/1.7, dsn=2.0.0, status=sent (250 ok dirdel)
Jun 16 15:44:51 mail postfix/qmgr[28313]: D73AF14C0061: removed
Jun 16 15:44:51 mail postfix/smtp[28327]: 6A0C514C0087: to=<rhodamoo1@netzero.net>, relay=mx.dca.untd.com[64.136.44.37]:25, delay=17, delays=2.9/0.01/4.4/9.4, dsn=2.0.0, status=sent (250 OK id AABJ55KRBAD7NYJA)
Jun 16 15:44:51 mail postfix/qmgr[28313]: 6A0C514C0087: removed
Jun 16 15:44:51 mail postfix/smtp[28399]: DDCCF14C0086: to=<sdd1288@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.70.27]:25, delay=0.61, delays=0.04/0/0.05/0.52, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[173.194.70.27] said: 550-5.7.1 [46.165.192.28 12] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550 5.7.1 more information. 8si8544790eeg.166 - gsmtp (in reply to end of DATA command))
Jun 16 15:44:51 mail postfix/cleanup[28478]: BAC6714C0087: message-id=<20130616114451.BAC6714C0087@mail.mydomain.ru>
Jun 16 15:44:51 mail postfix/pickup[28314]: BB3A714C009B: uid=48 from=<hester_ayers@mydomain.ru>
Jun 16 15:44:51 mail postfix/cleanup[28462]: BB3A714C009B: message-id=<20130616114451.BB3A714C009B@mail.mydomain.ru>
Jun 16 15:44:51 mail postfix/bounce[28483]: DDCCF14C0086: sender non-delivery notification: BAC6714C0087
Jun 16 15:44:51 mail postfix/qmgr[28313]: BAC6714C0087: from=<>, size=3381, nrcpt=1 (queue active)
Jun 16 15:44:51 mail postfix/qmgr[28313]: DDCCF14C0086: removed
Jun 16 15:44:51 mail postfix/qmgr[28313]: BB3A714C009B: from=<hester_ayers@mydomain.ru>, size=700, nrcpt=1 (queue active)
Jun 16 15:44:52 mail postfix/smtp[28371]: 36F1214C0097: to=<seyedhussains@yahoo.com>, relay=mta5.am0.yahoodns.net[98.136.216.26]:25, delay=1.8, delays=0.02/0/0.51/1.3, dsn=2.0.0, status=sent (250 ok dirdel)
Jun 16 15:44:52 mail postfix/qmgr[28313]: 36F1214C0097: removed
Jun 16 15:44:52 mail postfix/pickup[28314]: 21F1514C0061: uid=48 from=<johnnie_leblanc@mydomain.ru>
Jun 16 15:44:52 mail postfix/cleanup[28448]: 21F1514C0061: message-id=<20130616114452.21F1514C0061@mail.mydomain.ru>
Jun 16 15:44:52 mail postfix/qmgr[28313]: 21F1514C0061: from=<johnnie_leblanc@mydomain.ru>, size=679, nrcpt=1 (queue active)
Jun 16 15:44:52 mail postfix/smtp[28387]: BB3A714C009B: to=<seyedi1344@yahoo.com>, relay=mta7.am0.yahoodns.net[98.138.112.35]:25, delay=1.2, delays=0.11/0/0.39/0.74, dsn=2.0.0, status=sent (250 ok dirdel)
Jun 16 15:44:52 mail postfix/qmgr[28313]: BB3A714C009B: removed

Кто-то через сервер или с сервера рассылает спам. Подставляет в отправителя левые почтовые ящики на моем домене.

Как узнать рассылка идет через open relay или каким-то скриптом с сервера?

Да, ставил sendmail - спама нет. Значит через релей? Порт 25 закрыл, но письма все равно идут.

---------- Добавлено 16.06.2013 в 16:09 ----------

P.s. может кто подскажет конфиг, чтобы запретить отправку писем со всех адресов, кроме одного, а также прием писем?

Т.е. сервер не принимает письма извне совсем, а отправляет почту только с одного домена.

Парсинг прайс-листов, наполнение интернет-магазина товаром. (https://humbert.ru) Любая CMS (Битрикс, OpenCart, Prestashop и даже Woo Commerce )
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#1

Посмотрите исходные заголовки письма

Не стоит плодить сущности без необходимости
humbert
На сайте с 16.03.2006
Offline
527
humbert
#2

Какого письма? Где смотреть?

Я так понимаю, что письма через меня просто уходят, оставляя в логах лишь запись об отправителе (from) и получателе (to), а само тело письма с заголовками на сервере не остается.

Или я не прав? Тогда где смотреть?

pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#3

скорее всего письма отправляются через пхп скрипт(ы) на сайте, который протроянили.

сделайте так, что бы логировало в отдельный файл то - какой пхп скрипт отправляет почту.

это можно сделать без всяких патчей к пхп, вопреки множеству мнений и увидите - что некоторые скрипты у вас на сайте либо изменены, либо добавлены новые.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
N
На сайте с 06.05.2007
Offline
419
netwind
#4
pupseg:
это можно сделать без всяких патчей к пхп, вопреки множеству мнений

ну вообще-то патчи для php5.2. для 5.3 это уже без патчей. кроме того некоторые патчи больше информации дают

Кнопка вызова админа ()
humbert
На сайте с 16.03.2006
Offline
527
humbert
#5

По старинке, ручками. Залиты были левые скрипты, скрипты убил, дырок пока не нашел. Но есть мысль про то, где дырки.

pupseg
На сайте с 14.05.2010
Offline
347
pupseg
#6

как правило - эти дырки - это необновленные движки распространенных цмс, а чаще всего - необновленные модули этих цмс.

humbert
На сайте с 16.03.2006
Offline
527
humbert
#7

Ну да, зачем ломать редкие движки, когда, сломав популярный, можно получить больше выгоды.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий