Интернет-проекты активно используют email-рассылки для общения с клиентами.
- Рекламные и информационные, по базе проверенных адресов
- Автоматические: регистрация, оформление заказа, изменение статуса заказа.
- Массовые спам-рассылки - письма, рассылаемые без согласия принимающей стороны
Да, некоторые наши клиенты рассылают спам . Почтовые сервисы борются с ним - добавляют IP-адреса рассылающих серверов в блок-листы. Почта с таких адресов больше никогда не попадает в почтовые ящики, а сразу удаляется.
Мы следим за тем, чтобы наши клиенты не рассылали спам. Для этого действуют фильтры - они определяют вредоносные письма. Как только фильтр срабатывает, мы блокируем 25 порт, и сервер больше не может рассылать письма.
Автоматические фильтры срабатывают и на письма, не являющиеся спамом . Чтобы этого не произошло, заранее подайте заявку на добавление в белый список.
Белый список
Работает только для KVM-серверов. Чтобы вас добавили в белый список , напишите запрос в поддержку и сообщите нам:
- Каким образом подписчики дают согласие на получение рассылки? Покажите скриншот с формой подписки на рассылку. Если человек соглашается с рассылками при регистрации в сервисе, то пришлите скриншот формы регистрации и выдержку про рассылки из правил пользования ресурсом.
- Пример письма с рассылкой: оригинал (исходный код письма) и скриншот письма. В письме обязательно должна быть ссылка с возможностью отписаться от рассылки.
- Скриншот страницы, которая открывается по ссылке выше. Отказ от рассылки должен происходить просто, без авторизации на сайте.
Это специальная услуга для размещения сайтов, на которые поступают жалобы. Хостер полностью игнорирует жалобы и гарантирует, что при получении абуз, с его стороны не будет никаких санкций. Также здесь можно разместить сайты, которые обычно запрещены на других хостингах. Оборудование эти компании размещаются в странах Европы с либеральным законодательством, например в Нидерландах, или где-то в азиатском регионе, например в Китае. Абузоустойчивый хостинг - это не обязательно именно виртуальный хостинг, это может быть VPS или выделенный сервер. Главное здесь не тип услуги, а политика компании по отношению к жалобам и контенту.
Что можно размещать на абузоустойчивом хостинге
Абузоустойчивый хостинг используют для размещения порно, торрент трекеров, онлайн кино, сайтов нарушающих авторские права и т.д., некоторые даже могут дать разместить фишинг, кардинг или продажу запрещенных веществ. Также, его используют как абузоустойчивый smtp сервер, для рассылки спама. Насколько такой абузоустойчивый smtp сервер работоспособен сказать сложно, поскольку при постоянной рассылке спама, IP адрес этого smtp сервера будет внесен во все возможные черные списки и письма просто будут отклоняться. Тем не менее, такая услуга предоставляется. Стоит понимать, что название абузоустойчивый хостинг не означает, что на нем можно разместить все что угодно, здесь также много чего размещать нельзя. На сайте хостера прямо указывается какой контент можно размещать, а какой нельзя, какие жалобы будут проигнорированы, а какие нет. В основном клиенты таких хостеров размещают порно, онлайн кино и торрент трекеры.Сколько стоит
Естественно такую услугу предоставляют далеко не бесплатно и стоит она несколько больше, чем обычный хостинг или VPS. В среднем цена в два-три раза выше не абузоустойчивого аналога. Но цена напрямую зависит от того, какой контент необходимо разместить, поэтому точно сказать во сколько обойдется размещение того или иного сайта сказать сложно. В некоторых случаях стоимость может обсуждаться индивидуально. Но других вариантов разместить сайт нет, то придется платить и мы поможем вам выбрать лучший bulletproof хостинг или VPS.Нашей причиной стали многократные жалобы на спам, исходящий от наших клиентов хостинга и VPS. Не всегда можно с уверенностью сказать, были ли это умышленные действия клиентов или они сами не подозревали, что стали жертвой спам-ботов. Что бы там ни было, проблему пришлось решать.
Спам не любят. Спам оставляет «чёрное пятно» на лице провайдера, когда его IP адреса вносят в блеклисты, от чего страдают все клиенты. Удалить IP из блеклистов - особый разговор. Но это одна сторона медали. Если вернуть репутацию IP адресу можно, то вернуть репутацию компании и доверие - намного сложнее.
Мы решили найти решение и внедрить в структуру Unihost комплекс по защите и предотвращению нежелательных рассылок. После мозговых штурмов и обсуждений, начали проверять и сравнивать, что может предложить сообщество SPAM/AV.
Вариантов на рынке много. Однако, большинство качественных решений платные с тарификацией 1 лицензия на 1 сервер или даже на количество исходящих/входящих писем, что привело бы к удорожанию тарифов. Поэтому выбирали только среди opensource.
Популярные opensource-решения против спама
Rspamd
Он подходит для систем различного масштаба. Умеет интегрироваться в различные MTA (в документации описаны Exim, Postfix, Sendmail и Haraka) или работать в режиме SMTP-прокси.
Система оценки сообщений такая же, как в SpamAssassin, в частности на основании разных факторов: регулярных выражений, блок-листов DNS, белых, серых, черных списков, SPF, DKIM, статистики, хешей (fuzzy hashes) и прочего - только в работе используются другие алгоритмы.
В Rspamd поддерживается расширение при помощи плагинов.
Apache SpamAssassin
Известность SA получил благодаря использованию технологии байесовской фильтрации. Каждое сообщение при прохождении тестов получает определенный балл и при достижении порога помещается в спам.
Легко интегрируется практически с любым почтовым сервисом. В SA доступны популярные технологии, которые подключаются как плагины: DNSBL, SPF, DKIM, URIBL, SURBL, PSBL, Razor, RelayCountry, автоматическое ведение белого списка (AWL) и другие.
Установка в общем не сложна. После установки SpamAssassin требует тонкой настройки параметров и обучения на спам-письмах.
ASSP
Платформно-зависимый SMTP-прокси-сервер, принимающий сообщения до MTA и анализирующий его на спам.
Поддерживаются все популярные технологии: белые и серые списки, байесовский фильтр, DNSBL, DNSWL, URIBL, SPF, DKIM, SRS, проверка на вирусы (с ClamAV), блокировка или замена вложений и многое другое. Обнаруживается кодированный MIME-спам и картинки (при помощи Tesseract). Возможности расширяются при помощи модулей.
Документация проекта не всегда внятная, а инструкции нередко уже устаревшие, но при наличии некоторого опыта разобраться можно.
MailScanner
MailScanner представляет собой решение «все включено» для борьбы с фишинговыми письмами и проверки почты на наличие вирусов и спама. Он анализирует содержание письма, блокируя атаки, направленные на email-клиентов и HTML-теги, проверяет вложения (запрещенные расширения, двойные расширения, зашифрованные архивы и прочее), контролирует подмену адреса в письме и многое другое.
MailScanner легко интегрируется с любым МТА, в поставке есть готовые конфигурационные файлы. Помимо собственных наработок, он может использовать сторонние решения. Для проверки на спам может использоваться SpamAssassin.
EFA-project
Есть еще один Open Source проект - «eFa-project» - Email Filter Appliance. EFA изначально разработан как виртуальное устройство для работы на Vmware или HyperV. Программа использует готовые пакеты MailScanner, Postfix, SpamAssasin (весь список ниже) для остановки спама и вирусов и они уже установлены и настроены для правильной работы в vm. Это значит, что костыли не нужны - все работает «из коробки».
В EFA входят такие компоненты:
В качестве MTA (mail transfer agent) выступает Postfix - надежный, быстрый, проверенный годами;
Ядро спам фильтра - MailScanner - плечом к плечу с антивирусом принимают на себя весь удар;
Спам фильтр - SpamAssassin - определяет письма-спам. В основу включено множество оценочных систем, MTA и наборы регулярных выражений;
ClamAV - антивирус, который работает с MailScanner;
MailWatch - удобный веб-интерфейс для работы с MailScanner и другими приложениями;
Фильтр контента - DCC - определяет массовую рассылку через отправку хеш-сумм тела писем на специальный сервер, который в свою очередь предоставляет ответ в виде числа полученных хешей. Если число превышает порог score=6, письмо считается спамом;
Pyzor и - помогают SpamAssassin точнее распознавать спам, используя сети по обнаружению спама;
Для grey-листинга используется - служба политики postfix, позволяющая снизить количество спама, которое может быть принято получателями;
Для распознавания изображений используется модуль ImageCeberus - определяет порно изображения и т.д.
Мы выбрали EFA, поскольку проект включает в себя все лучшие характеристики вышеперечисленных. К тому же наши администраторы уже имели некоторый опыт работы с ним, поэтому выбор остановили именно на EFA. Приступим к описанию установки.
Установка и последующая настройка EFA
Устанавливать решили на VPS с чистой CentOS 6.8 x64, который выступает в качестве relay-сервера. Первым делом, необходимо обновить все системные утилиты и компоненты до последних версий, которые доступны в репозиториях. Для этого используем команду:
yum -y update
Затем устанавливаем утилиты wget и screen, если они не были установлены:
yum -y install wget screen
После чего, скачаем скрипт, который выполнит установку EFA:
wget https://raw.githubusercontent.com/E-F-A/v3/master/build/prepare-build-without-ks.bash
Даем скрипту права на исполнение:
chmod +x ./prepare-build-without-ks.bash
Запускаем screen:
screen
И запускаем скрипт:
./prepare-build-without-ks.bash
Теперь можно свернуть наш скрин используя комбинацию Ctrl + A + D.
После установки нужно заново войти на сервер через ssh, используя данные для первого входа. Это нужно для запуска скрипта инициализации и первичной настройки EFA.
После входа, система предлагает ответить на несколько вопросов, чтобы настроить EFA.
Список вопросов выглядит следующим образом:
Функция | Свойство |
---|---|
Hostname | Указывается хостнейм машины |
Domainname | Домен, к которому относится машина. В сумме с хостнеймом, получится полный FQDN сервера |
Adminemail | Ящик администратора, который будет получать письма от самой системы (доступные обновления, различные отчеты и т.д.) |
Postmasteremail | Ящик человека, который будет получать письма, которые имеют отношение к MTA |
IP address | IP адрес машины |
Netmask | Маска |
Default Gateway | Шлюз |
Primary DNS | Первичный DNS сервер |
Secondary DNS | Вторичный DNS сервер |
Local User | Логин локального администратора. Используется для входа в систему и в веб-интерфейс MailWatch |
Local User Password | Пароль |
Root Password | Пароль для пользователя root |
VMware tools | Будет отображаться только, если установка происходит на виртуальную машину под управлением VMware. Она необходима для установки инструментов по работе с VMware |
UTC Time | Если Ваша машина находится в часовом поясе UTC, необходимо выбрать Yes |
Timezone | Тут можно выбрать другой часовой пояс, отличный от UTC |
Keyboard Layout | Раскладка клавиатуры, которая будет использоваться в системе |
IANA Code | Тут указывается код страны, в которой находится машина. Это необходимо для того, чтобы определить, с каких зеркал в будущем будут скачиваться обновления |
Your mailserver | Индивидуальный параметр. Используется в случае если EFA работает и на приём писем |
Your organization name | Название организации. Используется для заголовков в письмах |
Auto Updates | Задается политика автообновлений. По умолчанию установлено disabled. В этом случае, автообновлений не будет, но на емейл админа будут приходить уведомления о доступных обновлениях |
После такой анкеты, отображается весь список ответов. Если что-то нужно изменить, набираем номер вопроса и вводим новые данные. Когда готовы двигаться дальше, набираем ОК и жмем Enter. Система начнет процесс автонастройки.
По завершению конфигурирования, система перезагрузится и будет в полной боевой готовности.
Это список основных опций EFA, которые недоступны для редактирования через веб-интерфейс MailWatch. Поэтому, хорошо знать, где их найти.
Ручная настройка EFA
Мы же пошли сложным путем, но более гибким. Настройку EFA под себя делали не через интерактивное меню, а правили конфигурационные файлы. Мы хотели не просто всё настроить, а еще и разобраться во всех компонентах и понять, что и как работает.
Первым делом в файле main.cf настроек postfix добавили mynetworks, с которых принимались соединения по SMTP. Затем прописали ограничения по helo запросам, отправителям, получателям, и указали пути к картам с политиками ACCEPT или REJECT при соблюдении определенных условий. Также, inet_protocols был изменен на ipv4, чтобы исключить соединения по ipv6.
Затем изменили политику Spam Actions на Store в конфигурационном файле /etc/MailScanner/MailScanner.conf. Это значит, что если письмо будет определено как спам, оно уйдет в карантин. Это помогает дополнительно обучать SpamAssassin.
После таких настроек мы столкнулись с первой проблемой. На нас обрушились тысячи писем от адресатов [email protected], [email protected], [email protected] и т.д. Получатели были схожие. Также получили письма, отправленные MAILER-DAEMON, то есть фактически без отправителя.
В итоге получили забитую очередь без возможности найти среди «красного полотна» нормальные, письма не-спам. Решили делать REJECT подобных писем, используя стандартный функционал Postfix карт: helo_access, recipient_access, sender_access. Теперь вредные адресаты и подобные стали успешно REJECT’иться. А те письма, которые отправлялись MAILER-DAEMON отфильтровываются по helo запросам.
Когда очередь вычистили, а наши нервы успокоились, начали настраивать SpamAssassin.
Обучение SpamAssassin
Обучение SpamAssassin делается на письмах, которые уже попали в спам. Делать это можно двумя способами.
Через веб-интерфейс
Первый способ - через веб-интерфейс MailWatch. В каждом письме можно увидеть заголовки, тело, а также оценку по алгоритму Байеса и других показателях. Выглядит это так:
Score | Matching Rule | Description |
---|---|---|
-0.02 | AWL | Adjusted score from AWL reputation of From: address |
0.80 | BAYES_50 | Bayes spam probability is 40 to 60% |
0.90 | DKIM_ADSP_NXDOMAIN | No valid author signature and domain not in DNS |
0.00 | HTML_MESSAGE | HTML included in message |
1.00 | KAM_LAZY_DOMAIN_SECURITY | Sending domain does not have any anti-forgery methods |
0.00 | NO_DNS_FOR_FROM | Envelope sender has no MX or A DNS records |
0.79 | RDNS_NONE | Delivered to internal network by a host with no rDNS |
2.00 | TO_NO_BRKTS_HTML_IMG | To: lacks brackets and HTML and one image |
0.00 | WEIRD_PORT | Uses non-standard port number for HTTP |
Открыв письмо, можно поставить галку в чекбоксе «SA Learn» и выбрать одно из нескольких действий:
- As Ham - пометить письмо как чистое (тренировка алгоритма Байеса);
- As Spam - пометить письмо как спам (тренировка алгоритма Байеса);
- Forget - пропустить письмо;
- As Spam+Report - пометить письмо как спам и отправить информацию о нём в сети по обнаружению спама (razor + pyzor);
- As Ham+Revoke - пометить письмо как чистое и отправить информацию о нём в сети по обнаружению спама (razor + pyzor).
Через консоль
Делается это просто. Команда выглядит следующим образом:
sa-learn --ham /20170224/spam/0DC5B48D4.A739D
В этой команде письмо с ID: 0DC5B48D4.A739D, которое находится в архиве спам писем за определенную дату /20170224/spam/, помечается как чистое (не спам) bash--ham .
Бытует мнение, что достаточно обучать SpamAssassin только для эффективной фильтрации почты. Мы решили тренировать SpamAssassin, скармливая ему абсолютно все письма, как чистые, так и спам. В дополнение, мы нашли базу спам-писем и отдали SA на растерзание.
Такая тренировка помогла более точно откалибровать Байесовский алгоритм. В результате фильтрация происходит гораздо эффективнее. Такие тренировки мы проводим тогда, когда почтовый трафик не очень высок, чтобы успеть проанализировать и захватить максимальное количество писем.
Для того, чтобы SpamAssassin начал работать на полную мощность, на старте ему необходимо скормить около 1000 различных писем. Поэтому наберитесь терпения и приступайте к тренировке.
Пока еще рано говорить о полной победе над спамом. Однако, сейчас количество жалоб на спам с наших серверов равно нулю. Более детально рассказывать о самом процессе обучения сейчас не будем- не хочется раскрывать все фишки. Хотя, если поковыряться в настройках, разобраться не сложно.
Для тех, кто ленится смотреть 45 минутное видео по настройке SMTP на VDS
Подготовительный этап
1) Регистрируем почтовый ящик (на который будем регить все сервисы). Заносим все данные файлик, чтобы не растерять.
2) Регистрируемся на reg.domainik.ru (или любой другой сервис регистрации доменов) и покупаем домен. Если вы хотите получить домен бесплатно, то читаете статью
DNS Сервера прописываем ns1.firstvds.ru и ns2.firstvds.ru (ну или NS вашего хостинга)
3) На firstvds.ru (или вашем хостинге) берем VDS сервер (самый простой — 150р для теста пойдет, хотя профи покупают самый дорогой). Промо код для скидки 25%: 648439800. Подтверждение номера в аккаунте через сервис sms-reg.com Шаблон сервера выбираем «Debian amd64» без ISPmanager. После оплаты нужно подождать пока статус сервера станет в состояние «Активен» и присвоится IP
Настройка сервера
2) После регистрации заходим в раздел Лицензии ISPSystem и вводим IP нашей VDS. Далее заходим на хостинг(VDS) в раздел «Виртуальные серверы»-жмем на наш сервер и сверху кнопку «В панель». Там выделяем наш сервер — «Переустановить» и выбираем Debian-amd64-ispmngr и указываем пароль, который был прислан после активации VDS. Далее немного подождать. В разделе «Контейнеры» жмем «ISPmgr» и вас должно перекинуть в ISPmanager
3) В ISPmanager вашего VDS заходим «Пользователи» — «Создать» и создаете пользователя, в шагах указываете ваш домен, который купили.
4) Далее заходите «Домены-Доменные имена» — там должен быть уже ваш домен, выбираете его и жмете NSы — «Создать» и указываете данные, которые пришли в письме на почту, которую указывали при регистрации VDS. Заголовок письма «Изменение параметров доступа DNS….» из письма вводите все данные, включая ns1.firstvds.ru и ns2.firstvds.ru и ставите галочку «Применить к существующим»
6) Создаете в разделе «Почтовые ящики» 4-5 почтовых ящика.
Настройка DKIM
1) В ISP панели ВАШЕГО VDS сервера в разделе заходите в «Настройки-Програмное обеспечение» находите «Почтовый сервер» (SMTP) он должен быть «exim», если нет — жмете кнопку «Удалить», потом «Установить» и выбираете «exim-daemon-heavy» жмем «Далее»-«Далее»-«Завершить». Установка завершена. Далее выбираем «Opendkim — фильтр DKIM» жмем «Установить» (если в процессе требуется обновить ПО, то обновляем). Когда все установится (SMTP и DKIM) статус будет «лампочка желтая»
2) Идем в «Домены-Почтовые домены» выбираем наш домен, 2 раза кликаем и ставим галочку «Включить DKIM»
3) Идем в «Домены-Доменные имена» и смотри «Записи» там должна появится длинная запись DKIM
Сокрытие IP
1)В ISP панели ВАШЕГО VDS сервера «Система-Менеджер файлов» жмем «Назад» — далее папка etc, далее exim4 и выбираем файл exim.conftemplate 2 раза жмем на него и редактируем.
Вставляем код после строчки +smtp_protocol_error и перед строчкой TLS/SSL и жмем «Сохранить»
2)На VDS сервере в разделе «Контейнеры» жмем «Перезапуск»
Отправка с помощью ePochta Mailer
1) В ePochta Mailer жмем Настройки-SMTP ставим «Только SMTP» жмем + и добавляем наш сервер.
Вставляем IP порт 587. «Авторизация» — AUTH PLAIN(устаревшая). Шифрование — «Нет». Логин — одна из наших почт(которую регили в панели на VDC) и пароль её и вставляем нашу почту в имейл отправителя. «Потоков» 1. Для теста «Ждать» ставим 1 секунду. «После» 1 писем. Жмем Ок.
2) Пишем любое письмо и жмем «Проба» и проверяем доставляемость на свои ящики (яндекс,мейлру)
3) По аналогии добавляются остальные почтовые ящики
4) Рекомендации при рассылке в первые дни слать не более 3000 писем\день на Мейлру.Настройка «Ждать» — 7 секунд. Так же рекомендуется использовать
«Подстановка текста» для рандомизации письма. Если домен банится, то по инструкциям добавляется и настраивается новый домен
Расходы на всё это дело 250 рублей.
Экономия на просмотре курса 1,5 часа времени.
Желаю всем удачи!
Практически па всех наших серверах мы используем для отправки почты сервис под названием Exim.
Exim - это так называемый MTA (Mail Transfer Agent), агент передачи сообщений, в просторечии – почтовик или почтовый сервер, использующийся во многих операционных системах семейства Unix.
У каждого письма, которое проходит через почтовый сервис есть свой идентификатор или по-другому уникальный номер письма. Идентификаторы сообщений в очередях Exim, представляют из себя буквенно-цифровые последовательности в верхнем и нижнем регистра, например "1TrXS1-0003SL-3h", и используются большинством команд администрирования очереди и логгирования в Exim.
Теперь рассмотрим краткий список команд ssh по управлению почтой и почтовой очередью. Важно! Все команды нужно выполнять от root и они доступны только для VPS/Dedicated
Вывести количество сообщений в почтовой очереди (то, что мы видим в мониторинге):
Печать списка сообщений в очереди . Выводятся, время постановки в очередь, размер, ID сообщения, отправитель, получатель:
Пример такого списка:
4h 791 1TrXgs-0004t8-0W
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
4h 1.8K 1TrXgu-0004tZ-5w
Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Соответственно идентификаторы этих двух сообщений: 1TrXgs-0004t8-0W и 1TrXgu-0004tZ-5w
Удалить сообщение
из очереди: exim -Mrm
(Пример: exim -Mrm 1TrXgs-0004t8-0W, удалит из очереди сообщение с переданным идентификатором)
Просмотреть заголовки сообщений : exim -Mvh
Просмотреть тело сообщений: exim -Mvb
Просмотр логов сообщения : exim -Mvl
Удалить все заблокированные сообщения в почтовой очереди: exipick -z -i | xargs exim -Mrm
Удалить все сообщения из почтовой очереди, где домен отправителя domain: exipick -f @domain -i | xargs exim -Mrm
Удалить все сообщения из почтовой очереди, где домен получателя domain: exipick -r @domain -i | xargs exim -Mrm
Удалить все сообщения из почтовой очереди: exipick -i | xargs exim -Mrm
Если в очереди несколько сотен тысяч сообщений, быстрее будет выполнить удаление очереди командами
rm -rfv /var/spool/exim4/input/
rm -rfv /var/spool/exim4/msglog/
Теперь рассмотрим как найти кто и каким образом рассылает спам на сервере и как это заблокировать?
Для этого мы делаем следующее:
Вывести список сообщений в почтовой очереди с помощью команды
Визуально определить в списке с какого домена либо ящика идет почта. Обычно это легко видно за счет большого количества почты, отправленной с одного и того-же почтового ящика. Также определить с чего именно идет спам можно анализируя логи, тело и заголовок несколько однообразных писем с помощью команд, описанных выше.
Если спам идет со взломанного почтового ящика – отключить его, либо сменить пароль ящика в его свойствах в разделе Почтовые ящики
Если спам идет с крон-задания – удалить такое задание в разделе Планировщик Cron
Если с сайта – Найденный WWW домен нужно либо заблокировать либо заблокировать почту для этого www домена, сайт при этом будет работать – не работать будет только почта, отправленная скриптом php mail – для режимов работы php cgi и apache это делается по разному:
- для режима php apache в общем конфиге apache2 сервера под root /etс/apache2/apache2.conf найти блок Virtualhost нужного домена и в строчке
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f
сменить в пути /usr/sbin/sendmail слово sendmail на sendmoil.
Либо сделать та же в разделе www домены в свойствах конфига apache2. После этого нужно перезагрузить сервис apache2 чтобы изменения вступили в силу. После этого php mail только для этого сайта и только в режиме php apache работать не будет и скрипты не смогут рассылать письма.
Для режима php cgi под пользователем – владельцем сайта в файле php-bin/php.ini в строчке sendmail_path = "/usr/sbin/sendmail -t -i -f меняем в пути /usr/sbin/sendmail слово sendmail на sendmoil. При этом перезагружать ничего не нужно и указанная блокировка будет распространятся на ВСЕ www домены данного пользователя, которые работают в режиме php cgi, а не на какой-то конкретный.
Еще раз хотелось бы отметить, что такая блокировка распространяется только на скрипты и крон с помощью которых распространяется почта – ящики, созданные на этом же домене будут работать.
Если определить кто шлет спам с помощью очереди не удалось, можно воспользоватся еще несколькими командами:
tail -n 1000 /var/log/nginx/access.log | grep POST
выведет список POST запросов всех сайтов , в которых можно определить вредоносный файл, который генерирует рассылку.
Увидели файл скрипта? Ищем его на сервере командой
find / -name filename
ps axu | grep ssh
которая выведет все ssh подключения к серверу. Затем наберите команду
которая выведет все активные соединения. Обычно пользователь, которого нет в выводе этой команде, но есть в выводе предыдущей взломан – в таком случае просто смените пароль пользователя либо его ftp аккаунта
команда killall -u user закроет все открытые ssh соединения пользователя user
Если вместо логина пользователя указаны цифры либо ftp-аккаунт пользователя, которого в Пользователях не видно, найти можно в файле /etc/group либо /etc/passwd
Еще рассылать спам можно запуская скрипты через cron. Быстро просмотреть все cron всех пользователей можно в папке /var/spool/cron/crontabs
Если на сервере установлен не Exim a postfix, можно воспользоваться следующими командами
mailq вывод почтовой очереди
postsuper -d ALL чистка почтовой очереди
Также в панели управления ISP Manager 4 для работы с почтовой очередью есть возможность установить и использовать плагин, который называется Почтовая очередь.
Установить плагин можно только из под root в разделе Плагины – нажмите Установить справа вверху, из списка выберите ispmque и установите его. После этого обновите панель управления и в разделе Инструменты появится новый раздел Почтовая очередь. В этом разделе можно полностью просматривать всю очередь и все записи каждого письма в очереди, а также чистить очередь и повторять отправку отдельных писем, то есть по сути все то же что и описанным выше методом по ssh.
Источник - https://thehost.ua/wiki/SPAM