Как найти кто шлет спам с сервера?

Question

[Андрей]

Есть сервер на Debian с postfix, на котором работает несколько сайтов. Постоянно попадаю в спам-листы из-за того, что кто-то отсылает почту с моего IP. Уже около месяца пытаюсь найти кто и что, но безуспешно. В mail.log этих адресов нет. В логах отправки PHP mail этих адресов нет. Не могу понять как можно отправить письмо и не попасть в лог?
Проходил всякие тесты на опен релей и т.д. - всё закрыто. Спец сервисы никаких ошибок не показывают, даже DMARC прописал, чтобы ошибкой не считалось.

junkemailfilter.com присылает пример письма - там явный спам. Например от wheatonl@tazewell.k12.va.us к 6f40a22a@opayq.com с темой Do you wanna meet and get laid or not? и соотв содержанием со спамной ссылкой.

Подскажите кто в теме - как еще можно найти отправителя или способ отправления?

Answer 1

[Rsa97]

Вполне возможно, что на сервере работает какой-то левый скрипт, напрямую отсылающий письма по SMTP. В таком случае в логах никаких записей не будет.

Comments

[Андрей]

Возможно ли каким-то образом включить лог отправки?

[Rsa97]

Slimer2: Какой лог? Если это отдельный скрипт, то максимум вы можете снять tcpdump всего, что идёт на dst port 25. Но это позволит только определить, действительно ли этот спам уходит именно с данного сервера. Названия скрипта или идентификатора процесса вы в дампе не увидите.