Я проверял свои таблицы munin и видел огромный список отложенных писем в postfix, и просмотр /var/log/mail.log дал мне идею: я отправляю письма на неизвестные почтовые адреса:
Dec 23 08:21:32 h2065299 postfix/pickup[10816]: 63F5811A0384: uid=33 from=<www-data>
Dec 23 08:21:32 h2065299 postfix/cleanup[20915]: 63F5811A0384: message-id=<301b8e057416d03df3ac7c11f1aa5bda@www.my-server.com>
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: from=<www-data@my-server.com>, size=2254, nrcpt=1 (queue active)
Dec 23 08:21:32 h2065299 postfix/smtp[20917]: 63F5811A0384: to=<underlyingbzvn+zprtra@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, $
Dec 23 08:21:32 h2065299 postfix/qmgr[7878]: 63F5811A0384: removed
это не сильно отличается от принудительного "хорошего" электронного письма
Dec 23 09:41:51 h2065299 postfix/pickup[28905]: EE51611A0393: uid=33 from=<www-data>
Dec 23 09:41:51 h2065299 postfix/cleanup[30516]: EE51611A0393: message-id=<2736115f98e8293f5e8b657b22e66b4d@www.my-server.com>
Dec 23 09:41:52 h2065299 postfix/qmgr[28906]: EE51611A0393: from=<www-data@my-server.com>, size=977, nrcpt=1 (queue active)
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: connect to gmail-smtp-in.l.google.com[2a00:1450:4008:c01::1b]:25: Connection timed out
Dec 23 09:42:22 h2065299 postfix/smtp[30518]: EE51611A0393: to=<my-name@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.27]:25, delay=$
Dec 23 09:42:22 h2065299 postfix/qmgr[28906]: EE51611A0393: removed
Мы запускаем на сервере три wordpress и некоторую папку scipt. WP обновлены, и я думаю, что у нас есть для них правильные права доступа к файлам.
Что может заставить www-data отправлять письма неизвестным пользователям ?!
Если ваш сервер отправляет много писем неизвестным пользователям, вероятно, это спам. Чтобы убедиться в этом, вы должны проверить свою очередь постфиксов на наличие идентификаторов отложенных писем и прочитать, что в них находится.
Если вы используете системы CMS, такие как wordpress, вероятно, есть небезопасный сценарий, который можно использовать для рассылки спама. Если ваш Wordpress обновлен, вам также следует проверить любые плагины, модули и т. Д., Если они есть.
Чтобы узнать, какой скрипт отвечает за отправку этих писем, вы можете установить директиву
mail.add_x_header = On
в вашем php.ini. Это добавит дополнительный заголовок письма
X-PHP-Originating-Script
на вашу почту, которая показывает сценарий отправки. Эта директива доступна начиная с PHP 5.3.
странные признаки, простое объяснение: мы используем плагин, который просит комментатора сообщения проверить его комментарий. Это означает: каждый комментатор получает электронное письмо. После обновления Wordpress до 3.8 некоторые боты могут оставлять комментарии, не отвечая на необходимую капчу в сообщении в блоге. Это означает: много комментариев, в результате чего много писем. Мы надеемся вскоре получить обновление для плагина re-captcha.
очередь была заполнена электронными письмами на часто используемые учетные записи спама gmail (получатель получает много сообщений за заданное время ...)
Так что это результат разыскиваемого почтового трафика, и, похоже, никакого "спама" с нашего сервера не происходит.