Блокировка спама на уровне exim/apache?

Question

[Олег Свирчев]

Есть сервер с exim, и установленным apache в режиме mpm-itk. На нем очень много доменов. Частенько сайты взламывают (wordpress стоит) и рассылают спам через функцию php mail. Вовремя блокировать спам не удается, поэтому айпи адреса попадают в спам базы. Итак, вопрос знатокам:

Как можно блокировать рассылку любой почты для одного домена через exim или apache. Я пробовал через виртхост в apache, прописывать disable_functions, sendmail_path /dev/null. Ничего не помогает. Может можно блокировать через exim именно рассылку php mail? Буду рад любым мыслям. Менять режим работы веб-сервера или почтовую систему НЕЛЬЗЯ!

Answer 1

[Сергей Петриков]

Ловить и чистить, для exim примерно так www.inmotionhosting.com/support/email/exim/find-sp... пошагово и доступно. Большинство заразы, что я встречал не использует функцию mail() и имеют собственную функцию рассылки внутри (там кода строк на 10, нет смысла привязываться к окружению), так что отключение sendmail_path в php мало что даст. Разве что как вариант ее чуть поменять на что-то типа:

sendmail_path = "tee -a /var/log/php.mail.log | /usr/sbin/sendmail -t -i"

ну то-есть логировать всю почту проходящую через эту функцию, помогает быстро найти источник рассылки, если функция mail, все-таки используется. А так совет стандартный: чиста, обновление движков до актуальных версий, ревизия кода, запрет выполнения скриптов на уровне ОС из директорий с логами темпами и прочими местами куда заливают чаще всего всякий мусор и на содержимое которых может влиять пользователь.

Comments

[Олег Свирчев]

Спасибо за развернутый ответ. Насчет "Ловить и чистить" - тут я справляюсь без проблем. Интересно про "имеет собственную функцию рассылки". Это каким таким образом происходит?

[Сергей Петриков]

Олег Свирчев: Вариантов много, можно через сокет, примерно так:
<?php
function socketmail($server, $to, $from, $subject, $message) {
$connect = fsockopen ($server, 25, $errno, $errstr, 30);
fputs($connect, "HELO localhost\r\n");
fputs($connect, "MAIL FROM: $from\n");
fputs($connect, "RCPT TO: $to\n");
fputs($connect, "DATA\r\n");
fputs($connect, "Content-Type: text/plain; charset=iso-8859-1\n");
fputs($connect, "To: $to\n");
fputs($connect, "Subject: $subject\n");
fputs($connect, "\n\n");
fputs($connect, stripslashes($message)." \r\n");
fputs($connect, ".\r\n");
fputs($connect, "RSET\r\n");
}
?>
Короче все что умеет работать напрямую с SMTP. Вебмастера научились худо-бедно ловить скрипты с вызовами mail(); даже обфусцированными, так что скриптописатели уже давно выкручиваются без mail.

[Олег Свирчев]

Я понял. Значит, php mail уже не единственный инструмент. Раз php пропускает в любом случае, есть ли возможность блокировки на уровне exim? Сейчас использую вот такую фишку - svirchoff.ru/linux/%D0%BF%D0%BE%D1%87%D1%82%D0%B0/...

[Сергей Петриков]

Олег Свирчев: Да, вы ищите в правильном направлении, так блочить можно, но лучше сразу вычистить. Смотрите для того чтоб заблочить, надо изменить конфиг exim, применить его, почитстить домен, разблокировать его в конфиге, проверить что спама нет. В чем смысл, если можно сразу чистить и проверять? Ваш вариант имеет смысл если вы держите кучу чужих доменов с ленивыми админами и по договору приходится не чистить их, а долго и упорно переписываться, чтоб они подняли свой зад и занялись проблемой, тогда да блочить как по ссылке.

[Олег Свирчев]

Сергей Петриков: Как раз "ленивые админы/клиенты", это мой случай. Но я не хочу блочить домен, а хочу блочить возможность рассылки, чтобы сайт при этом работал. По моей ссылке - это про получателей. Как сделать тоже самое правило, но для отправителей?

[Сергей Петриков]

Олег Свирчев: Попробуйте такой вариант https://debian.pro/1541

[Олег Свирчев]

Сергей Петриков: Спасибо, попробую настроить таким макаром. Этот вариант то что нужно.