На нашем сервере размещено несколько сайтов для разных клиентов. Хостинг-провайдер заблокировал порт 25 после того, как обнаружил, что наш выделенный сервер рассылает спам.
Я проверил логи Qmail, но ничего подозрительного не обнаружил. На первый взгляд кажется, что Spamassassin не дает слишком много вариантов решения моей проблемы.
Знаете ли вы, что Plesk также предоставляет очень подробную документацию? Вы можете прочитать и подписаться:
Изменить (по запросу): вы можете найти полезные команды, например:
/var/qmail/bin/qmail-qstat
Проверить, сколько сообщений в очереди Qmail
/var/qmail/bin/qmail-qread
Прочтите заголовки сообщений, он покажет отправителей и получателей. Два многих получателя в основном являются признаком спама.
find /var/qmail/queue/mess/ -name 1234567
Найдите сообщения по его идентификатору и проверьте заголовки. Вы можете исследовать, что пользователь отправляет довольно много писем через CGI-скрипты, например, что является еще одним индикатором спама.
Больше можно найти по указанной выше ссылке. :-)
Как отслеживать скрипты, рассылающие СПАМ?
Поскольку ваш хостинг-провайдер заблокировал вам отправку почты, вы можете проверить журналы почты и почтовую очередь на наличие подсказок:
В зависимости от настройки вашей системы сценарии запускаются под уникальным идентификатором клиента, который регистрируется, что сужает учетную запись хостинга.
Посмотрите на почтовую очередь, это зависит от того, как и какие скрипты, многие из лучших включают имя скрипта в заголовки, а когда это не так, обычно Reply-to или From установлены заголовки, которые позволяют сузить учетную запись клиента.
Свяжите с журналами доступа в Интернет, и обычно довольно легко найти скрипт-нарушитель.
Возможно, в очереди сообщений нет спама, и журналы вашего почтового сервера также не указывают, что вы отправляли спам; тогда вместо существующего скрипта / почтового средства, которым злоупотребляют, спамер смог загрузить собственный скрипт / программу, которая напрямую подключается к удаленным почтовым серверам, полностью минуя Qmail. В таком случае: Как мне поступить с взломанным сервером?
grep Received\: /var/log/maillog | grep --color invoked\ by\ uid
Наиболее часто используемые uid должны быть такими же, как у скомпрометированных виртуальных хостов. Если uid 0, у вас действительно проблемы.
Вы не предоставили мне достаточно информации, чтобы убедиться, что вы входите в / var / log / maillog. В plesk, например, maillog находится где-то еще.
Вы можете подумать о том, чтобы поговорить со своим хостинг-провайдером, чтобы узнать, что они могут предоставить, чтобы помочь вам - они предположительно отключили ваш трафик порта 25 на основании чего-то, и знание того, что это было, было бы полезно.
Примечательно, что я бы посоветовался с ними, если это проблема объема или содержимого - исправление в каждом случае может быть немного другим.
Я бы также проверил ваш / var / log / mail (или аналогичный файл), чтобы попытаться определить главного отправителя (ей) - в частности, я бы проверил записи, показывающие nrcpt больше 1, которые используют домен, который вы размещаете.
Я бы посоветовал вам убедиться, что каждый из ваших доменов / веб-сайтов работает как собственный (локальный) пользователь - таким образом, если вы обнаружите, что проблема исходит от одного домена, вам будет проще заблокировать отправку этому локальному пользователю чего-либо (если вы запустите все сайты под одним пользователем, вам нужно будет выполнить сопоставление домена и т. д.).
Поскольку у вас есть SpamAssassin, я также хотел бы убедиться, что вы сканируете исходящие электронные письма (блокируете ли вы их на основе спама или нет, зависит от вас, но я гарантирую, что они будут оценены на предмет спама). Просмотрите статистику для каждого домена (или отправителя, если это необходимо) и посмотрите, поможет ли это вам получить некоторое представление.