Полез я значит в логи exim4, но там оказалось пусто. Проверил исходные файлы сайтов на этом сервере и тоже всё пусто – ни изменений за последние пару месяцев, ни новых файлов. Проверил сервер с помощью ClamAV – тоже всё чисто.
В попытках найти от куда валится спам решил всё-таки глянуть говно, которое мне прислали в виде вложения и охуел.
Во-первых, «спам» шлётся с домена, который направлен на сервер, но никак не привязан со стороны сервера.
Во-вторых, в писюле, что мамкины «специалисты по безопасности» из CERT-GIB прислали, ip-адрес моего сервера никак не фигурирует.
То есть пацаны обосрались с того, что кто-то использовал мёртвый домен в качестве отправителя корреспонденции. При этом:
- ящик с которого валился спам не существует
- почтовый сервер к данному домену не привязан
- у домена отсутствуют какие-либо разрешающие отправку со сторонних серверов DNS-записи, у него в принципе отсутствуют текстовые записи: DMARK, SPF и т.д.
- отправка ведется с ip, который нигде в DNS-записях не фигурирует
В попытках найти от куда валится спам решил всё-таки глянуть говно, которое мне прислали в виде вложения и охуел.
Во-первых, «спам» шлётся с домена, который направлен на сервер, но никак не привязан со стороны сервера.
Во-вторых, в писюле, что мамкины «специалисты по безопасности» из CERT-GIB прислали, ip-адрес моего сервера никак не фигурирует.
То есть пацаны обосрались с того, что кто-то использовал мёртвый домен в качестве отправителя корреспонденции. При этом:
- ящик с которого валился спам не существует
- почтовый сервер к данному домену не привязан
- у домена отсутствуют какие-либо разрешающие отправку со сторонних серверов DNS-записи, у него в принципе отсутствуют текстовые записи: DMARK, SPF и т.д.
- отправка ведется с ip, который нигде в DNS-записях не фигурирует