Dedyk, gmail blokuje poczte

[Krisinho 0]

Witam, moj znajomy ma problem ze swoim serwerem dedykowanym(takim starszej generacji, to nie ejst zaden vps, dzierzawi go juz ktorys rok).

 

Poprosilem znajomego o logi SMTP, dostalem logi:

 

$ grep -E "gmail.com" smtp.log | grep "You are sending spam" | wc -l

 

zwraca az 28007 liczbe lini zawierajacych You are sending spam. Czy moze ktos uzywac jego serwera do wysylki spamu? I jak to zlokalizowac. Ponizej jedna ze zwrotek:

 

29.01.2014 11:18:08 116.12.xxx.xxx [116.12.xxx.xxx] smtp/plain [] mess: - 0 from: <adres@gmail.com> [] to: <serwer@domena.pl> [xxx] status: LOCAL ERROR 554 5.7.1 You are sending spam (check http://www.spamhaus.org/query/bl?ip=116.12.xxx.xxx)

 

Dziwna sprawa jest taka, ze kazda zwrotka ma inny adres. Ta ma akurat 116.12.xx.xx

Ale w nastepnej jest z kolei adres 175.141.xxx.xxx, a w czasie dzieli je 5 minut.

Temu dedykowi sie az tak szybko IP chyba nie zmienia...

 

Spamhaus sugeruje botnet. Co robic w tej sytuacji, i jak interpretowac te logi? Dodam ze w logu tym jest bardzo duzo zwrotek z gmailia, odraz nieporownywalnie mniej wyslanych wiadomosci do gmaila.

 

Pozdrawiam!

 

 

Edytowano Luty 6, 2014 przez Krisinho (zobacz historię edycji)

[braga 0]

Tak, można używać czyjegoś serwera do wysyłania spamu. Najbardziej popularną metodą wysyłania spamu przez spamerów jest słanie emaili przez dziurawe strony internetowe, a także złamanie haseł użytkowników pocztowych. Na początek przeklej trochę pełnych logów od usługi pocztowej (exim, postfix ?).

[Syndrom 95]

Jesteś na RBLach, sprawdź sobie: http://multirbl.valli.org/

[mmmm21 98]

Prawdopodbnie masz jakąś dziurę w zabezpieczeniach serwera pocztowego, dziurawy skrypt wykorzystywany na stronie www lub ktoś zdobył hasło do konta pocztowego i rozsyła spam bez Twojej wiedzy. Przydałby się kawałek loga i ip serwera pocztowego.