Exim рассылка спама, как побороть?

Question

[gemajane]

Добрый день. Вопрос по exim-у. Достался по наследству.Проблема в том, что на info@mydomain.ru стали приходить отчеты о недоставке писем. Письма - спам. Причем в логах exim-а нет этих писем, только отчеты о недоставке.Но есть другие отправленные письма с ящика contact@mydomain.ru, которого вообще не существует.

Кусок лога

2016-12-18 12:15:35 no host name found for IP address 192.168.61.21
2016-12-18 12:15:35 1cITot-0001eu-77 spam acl condition: warning - spamd connection to 127.0.0.1, port 783 failed: Connection refused
2016-12-18 12:15:35 1cITot-0001eu-77 spam acl condition: all spamd servers failed
2016-12-18 12:15:35 1cITot-0001eu-77 H=(mydomain.ru) [192.168.61.21] I=[82....]:25 Warning: ACL "warn" statement skipped: condition test deferred
2016-12-18 12:15:35 1cITot-0001eu-77 <= info@mydomain.ru H=(mydomain.ru) [192.168.61.21] I=[82...]:25 P=esmtp S=1336 id=416021801.40516260.1482038132824@mydomain.ru from <info@mydomain.ru> for desireebrown100@yahoo.com
2016-12-18 12:15:37 1cITot-0001eu-77 SMTP error from remote mail server after MAIL FROM:<info@mydomain.ru> SIZE=2399: host mta7.am0.yahoodns.net [66.196.118.37]: 421 4.7.0 [GL01] Message from (82...) temporarily deferred - 4.16.50. Please refer to http://postmaster.yahoo.com/errors/postmaster-21.html

2016-12-18 12:15:38 no host name found for IP address 192.168.61.21
2016-12-18 12:15:38 H=(mydomain.ru) [192.168.61.21] I=[82...]:25 sender verify fail for <contact@mydomain.ru>: Unrouteable address
2016-12-18 12:15:38 H=(mydomain.ru) [192.168.61.21] I=[82...]:25 F=<contact@mydomain.ru> rejected RCPT <rickiejustin45@gmail.com>: Sender verify failed
2016-12-18 12:15:38 unexpected disconnection while reading SMTP command from (mydomain.ru) [192.168.61.21] I=[82...]:25
2016-12-18 12:15:42 1cITot-0001eu-77 => desireebrown100@yahoo.com R=dnslookup T=remote_smtp H=mta7.am0.yahoodns.net [98.138.112.37] X=TLS1.2:ECDHE_RSA_AES_128_GCM_SHA256:128 C="250 ok dirdel"
2016-12-18 12:15:42 1cITot-0001eu-77 Completed

Причем на адресе 192.168.61.21 находится сайт. Изначально я думала о уязвимости сайта. Но письма отправляются по SMTP и в заголовках писем нет ссылок на php скрипт, который бы их отправлял. При этом при отключении сайта письме о недоставке перестают приходить. А в логе смущает H=(domain.ru) [192.168.61.21] I=[82......]:25, потому что когда я отправляю письма внутри сети, то этот кусок в логах выглядит так H=([192.168.200.6]) [192.168.200.6] I=[192.168.60.1]:25, то есть нет ссылки на наш внешний адрес.

У меня складывается ощущение,что кто-то снаружи пытается отправлять письма с нашей почты????Так ли это судя по логам и как запретить отправку таких писем???

Answer 1

[Сергей]

Судя по логам, почта идет с хоста 192.168.61.21
Смотрите изменения в файлах, временно заблокируйте прием почты с этого хоста или вообще временно положите на нем почтовую службу чтоб спам не шел. И продолжайте искать дыры в своем сайте.
Впрочем может кто-то ваш 192.168.61.21 как смарт хост использует. Он наружу не открыт случайно ?