Article ID: 766, created on Jan 21, 2009, last review on Aug 12, 2014

  • Applies to:
  • Plesk 11.0 for Linux
  • Plesk 11.5 for Linux

Résolution

Tout d'abord, assurez-vous que, pour tous les domaines, l'option "Mail à un utilisateur non existant" est définie sur "Rejeter" et non sur "Transférer". Vous pouvez modifier ce paramètre pour tous les domaines à l'aide des "Opérations du groupe" sur l'onglet "Domaines" dans le CP de Parallels Plesk Panel. L'option "Rejeter le mail à un utilisateur non-existant" est disponible depuis la version 7.5.3 de Parallels Plesk Panel.

De plus, assurez-vous que les IP et réseaux dans la liste blanche soient fiables et que vous les connaissez.

Vérifiez le nombre de messages qu'il y a dans la file d'attente de Qmail avec :

# /var/qmail/bin/qmail-qstat
messages in queue:
27645
messages in queue but not yet preprocessed:
82


Si la file d'attente compte trop de messages, essayez de trouver d'où le SPAM provient.

Si le mail est en train d'être envoyé par un utilisateur autorisé et non par le script PHP, vous pouvez trouver l'utilisateur qui a envoyé le plus de messages avec la commande ci-dessous (depuis Parallels Plesk Panel 8). Remarquez que "l'autorisation SMTP" doit être activée sur le serveur pour voir ces enregistrements :

# cat /usr/local/psa/var/log/maillog |grep -I smtp_auth |grep -I user |awk '{print $11}' |sort |uniq -c |sort -n


Le chemin vers 'maillog' peut être différent en fonction de l'OS que vous utilisez.

Ensuite, exécutez l'utilitaire "qmail-qread" qui peut être utilisé pour les en-têtes de messages avec :

# /var/qmail/bin/qmail-qread
18 Jul 2005 15:03:07 GMT #2996948 9073 <user@domain.com> bouncing
done remote user1@domain1.com
done remote user2@domain2.com
done remote user3@domain3.com

....


Cela indique les destinataires et les expéditeurs des messages. Si le message a trop de destinataires, il s'agit pour la plupart de SPAMS. Maintenant, essayez de trouver ce message dans la file d'attente par son ID ( # 2996948 dans notre exemple) :

# find /var/qmail/queue/mess/ -name 2996948


Regardez ce message et trouvez le premier à partir de la ligne finale "Received" pour trouver la source de l'envoi. Par exemple, vous pouvez trouver quelque chose de ce type :

Received: (qmail 19514 invoked by uid 10003); 13 Sep 2005 17:48:22 +0700

Cela signifie que ce message a été envoyé via un certain script CGI par l'utilisateur portant l'UID 10003. À l'aide de cet UID, vous pouvez trouver un domaine correspondant :

# grep 10003 /etc/passwd


Si la ligne "Received" contient l'UID de l'utilisateur "apache" (par exemple "invoked by uid 48"), cela signifie que le SPAM a été envoyé via un script PHP. Dans ce cas, vous pouvez trouver le spammer à l'aide des informations des mails spam (adresses de l'expéditeur/des destinataires, objets ou autres). Mais, en général, il est très difficile de retrouver la source du SPAM. Si vous êtes sûr qu'en ce moment, un script envoie des SPAMS (la file d'attente augmente à vue d'œil sans raison), vous pouvez utiliser ce petit script pour découvrir les scripts PHP qui fonctionnent en temps réel :

# lsof +r 1 -p `ps axww | grep httpd | grep -v grep | awk ' { if(!str) { str=$1 } else { str=str","$1}}END{print str}'` | grep vhosts | grep php


De plus, vous pouvez appliquer la solution indiquée dans l'article de la base de connaissances : De nombreux mails sont envoyés à partir de scripts PHP sur le serveur. Comment puis-je trouver les domaines sur lesquels ces scripts fonctionnent ?.

Lines in Received section like

Received: (qmail 19622 invoked from network); 13 Sep 2005 17:52:36 +0700
Received: from external_domain.com (192.168.0.1)

Cela signifie que le message a été accepté et envoyé via SMTP et que l'expéditeur est un utilisateur de messagerie autorisé.

IMPORTANT : Comment recréer une file d'attente Qmail si elle est endommagée ou contient de nombreux spams ?

a914db3fdc7a53ddcfd1b2db8f5a1b9c 56797cefb1efc9130f7c48a7d1db0f0c 29d1e90fd304f01e6420fbe60f66f838 aea4cd7bfd353ad7a1341a257ad4724a 0a53c5a9ca65a74d37ef5c5eaeb55d7f 01bc4c8cf5b7f01f815a7ada004154a2 caea8340e2d186a540518d08602aa065 e0aff7830fa22f92062ee4db78133079

Email subscription for changes to this article
Save as PDF