Article ID: 766, created on Jan 26, 2009, last review on Oct 9, 2014

  • Applies to:
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux

Lösung

Stellen Sie zunächst sicher, dass bei allen Domains „E-Mail an nicht existierende Benutzer“ auf „Ablehnen“, aber nicht auf „Weiterleiten“ eingestellt ist. Dies kann für alle Domains geändert werden, indem „Gruppenoperationen“ auf der Seite „Domains“ im Plesk Control Panel genutzt wird.

Die Funktion „E-Mail an nicht existierende Benutzer ablehnen“ ist seit Plesk 7.5.3 verfügbar.

Stellen Sie außerdem sicher, dass sich in der Whitelist keine nicht vertrauenswürdigen IPs und Netzwerke befinden.

Prüfen Sie folgendermaßen, wie viele Nachrichten sich in der Qmail-Warteschlange befinden:

# /var/qmail/bin/qmail-qstat
messages in queue: 27645
messages in queue but not yet preprocessed: 82

Wenn sich zu viele Nachrichten in der Warteschlange befinden, versuchen Sie herauszufinden, woher der Spam stammt.

Wenn die E-Mail von einem autorisierten Benutzer gesendet wurde und nicht von einem PHP-Skript, können Sie mit dem unten angegebenen Befehl nach dem Benutzer suchen, der die meisten Nachrichten gesendet hat (ab Plesk 8.x). Beachten Sie, dass „SMTP-Autorisierung“ auf dem Server aktiviert sein muss, um diese Einträge einzusehen:

# cat /usr/local/psa/var/log/maillog |grep -I smtp_auth |grep -I user |awk '{print $11}' |sort |uniq -c |sort -n

Der Pfad zu „maillog“ kann je nach Betriebssystem variieren.

Im nächsten Schritt wird das Dienstprogramm qmail-qread verwendet, das für das Lesen der Nachrichten-Header genutzt werden kann:

# /var/qmail/bin/qmail-qread
18 Jul 2005 15:03:07 GMT #2996948 9073 <user@domain.com> bouncing
done remote user1@domain1.com
done remote user2@domain2.com
done remote user3@domain3.com
....

Es zeigt die Absender und Empfänger der Nachrichten. Wenn die Nachricht zu viele Empfänger hat, handelt es sich höchstwahrscheinlich um Spam. Versuchen Sie jetzt, diese Nachricht in der Warteschlange über ihre ID zu finden (in unserem Beispiel ist dies die 2996948):

# find /var/qmail/queue/mess/ -name 2996948

Sehen Sie sich die Nachricht an und suchen Sie die „Received“-Zeile, um herauszufinden, wo und wie die Nachricht ursprünglich abgesendet wurde. Wenn Sie z. B. etwas finden wie:

Received: (qmail 19514 invoked by uid 10003); 13 Sep 2005 17:48:22 +0700

bedeutet das, dass diese Nachricht über ein CGI-Skript vom Benutzer mit der UID 10003 versendet wurde. Über diese UID können Sie die entsprechende Domain finden:

# grep 10003 /etc/passwd

Wenn die Zeile „Received“ eine UID vom Benutzer „apache“ enthält (z. B. „invoked by uid 48“) – bedeutet dies, dass Spam über ein PHP-Skript versendet wurde. In diesem Fall können Sie versuchen, den Spammer zu finden, indem Sie Informationen aus den Spam-Mails nutzen (von/an-Adressen, Betreffzeilen o. Ä.).

Doch normalerweise ist es sehr schwierig, die Spam-Quelle zu ermitteln. Wenn Sie sicher sind, dass zum gegenwärtigen Augenblick ein Skript Spam versendet (weil die Warteschlange sehr schnell anwächst), können Sie das nachfolgende Skript nutzen und herausfinden, welche PHP-Skripte aktuell ausgeführt werden:

# lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ' { if(!str) { str=$1 } else { str=str","$1}}END{print str}'` | grep vhosts | grep php

Sie können außerdem in einem anderen Artikel nachlesen, wie man Domains findet, von denen E-Mails über PHP-Skripte versendet werden.

„Received“-Zeilen wie...

Received: (qmail 19622 invoked from network); 13 Sep 2005 17:52:36 +0700
Received: from external_domain.com (192.168.0.1)

... deuten darauf hin, dass die Nachricht für eine Zustellung über SMTP akzeptiert wurde und dass der Absender ein autorisierter E-Mail-Benutzer ist.

HINWEIS: Informationen über den Neuaufbau der Qmail-Warteschlange finden Sie im Artikel Nr. 252

a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f 01bc4c8cf5b7f01f815a7ada004154a2 caea8340e2d186a540518d08602aa065 e0aff7830fa22f92062ee4db78133079

Email subscription for changes to this article
Save as PDF