Я нашел целую кучу этого в своем почтовом журнале (после того, как мой сайт вышел из строя из-за чрезмерного использования ресурсов):
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: from=anonymous@mysite.com
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: to=travelforu@mail.ru
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: hook_dir = '/var/qmail//handlers/before-queue'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: recipient[3] = 'travelforu@mail.ru'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: handlers dir = '/var/qmail//handlers/before-queue/recipient/travelforu@mail.ru'
Dec 3 05:24:23 mysite qmail-queue-handlers[24524]: starter: submitter[24525] exited normally
Похоже, кто-то использует мою систему для рассылки спама. Что вы думаете, ребята, и как бы вы отследили их точки входа и / или заблокировали их?
Возможно, ваша почтовая программа настроена на ретрансляцию - это открытый ретранслятор?
http://www.palomine.net/qmail/relaying.html
Ретрансляция позволяет любому человеку в любой точке Интернета отправлять электронную почту с любым адресом электронной почты на ваш сервер, а ваш сервер доставляет ее любому количеству получателей в любой точке Интернета с любым адресом отправителя.
Вы действительно должны ограничить это отвергать вся почта, кроме двух разных шаблонов:
почта извне, с адресом «Кому», который включает ваше доменное имя и где часть перед символом at соответствует определенному человеку в вашей организации. В случае веб-сервера это может быть никто, если веб-серверу не нужно принимать входящую электронную почту. Часто организация имеет отдельные почтовые серверы для обработки электронной почты своих членов.
почта от прошедших аутентификацию пользователей с адресом отправителя, который включает ваше доменное имя. В этом случае адрес может быть любым. Отправители обычно отправляют сообщения с IP-адресов в вашей локальной сети, но может быть полезно разрешить доверенным людям использовать ваш почтовый сервер - в этом случае они должны пройти аутентификацию, прежде чем разрешить передачу электронной почты.
Если вы сделаете это, вы не будете распространять СПАМ для спамеров (и рискуете попасть в черный список), но это не повлияет на вашу законную деятельность.
Перед и после изменения конфигурации вашего почтового сервера проверьте его. Используйте стороннюю точку доступа в Интернет (3G, Интернет-кафе, дом), чтобы попытаться отправить электронную почту через свой почтовый сервер, попробуйте различные комбинации адресов туда и обратно, например
From To Expect
genuine@mydomain other@www.mydomain allowed
evil@spam.com spam@victim.com rejected
fakester@mydomain spam@victim.com rejected
genuine@mydomain pal@example.com allowed only if authenticated
Но большинству веб-серверов не нужно отправлять почту за пределы сервера, за исключением, возможно, веб-мастеров / администраторов. ТАК они могут быть заблокированы крепче.
Как и ответ RedGrittyBrick, это похоже на открытое реле, но я не знаю.
Вы можете попробовать такую службу тестирования общедоступной ретрансляции: http://www.abuse.net/relay.html
Они будут автоматически запускать всевозможные тесты отправки почты и сообщать вам результаты в реальном времени. Если ваш SMTP-сервер принял почту для доставки, вам следует посмотреть файл config.
Другая теория заключается в том, что какой-то хакер установил бэкдор или использует эксплойт для любого программного обеспечения, которое вы установили для отправки почты с помощью сценария. Что, поскольку сценарий находится на сервере, они смогут обойти ограничения ретрансляции, поскольку почта приходит с сервера, а не из Интернета. Что вы можете попробовать, так это убить службу веб-сервера и посмотреть, продолжает ли он отправлять почту, и таким образом вы узнаете, действительно ли это бэкдор сценария или что-то еще более вредоносное.