Gerade im Multidomainhosting kann es durchaus recht schwer werden den betreffenden Domain Account zu lokalisieren.

In dieser Anleitung möchten wir Ihnen ein paar Ansetze zeigen.

 

1.1   Loggen Sie sich auf der Konsole ein.

1.2   Prüfen Sie vorab wie viele E-Mails sich in der Warteschlange befinden.

 

/var/qmail/bin/qmail-qstat

Sollte der Wert „messages in queue“ mehrere tausend E-Mails anzeigen, so kann man davon ausgehen das der größte Teil Spamnachrichten sind.

 

messages in queue: 15245

 

2. Lassen Sie sich anschließend mit folgende Befehl den Nachrichten-Header ausgeben.

 

/var/qmail/bin/qmail-qread

Sobald Sie ein paar dutzend Ausgaben erzeugt haben, empfiehlt es sich mit Strg + C den Vorgang abzubrechen, da es recht lange dauern kann bis alle Ausgaben erzeugt wurden. Schauen Sie in der Liste ob es eine ungewöhnliche Rate an ausgehenden E-Mails gibt. In den meisten Fällen wird Spam an größere E-Mail Dienstleister wie yahoo, gmail etc. gesendet.

3. Suchen Sie sich anschließend eine E-Mail aus und kopieren Sie die Nachrichten-ID (#28332582).

18 Jul 2005 15:03:07 GMT #28332582 9073 <spam@tdln.de> bouncing

4. Mit Hilfe von find können Sie den Speicherort dieser Nachricht lokalisieren.

find /var/qmail/queue/mess/ -name 28332582

5. Öffnen Sie die Nachricht.

nano /var/qmail/queue/mess/20/28332582

6. In der ersten Zeile des E-Mail Headers finden Sie die uid. Notieren Sie sich die ID.

Received: (qmail 3797 invoked by uid 10016); 15 Mar 2014 13:25:59 +0100

7. Anschließend such Sie in der passwd Datei nach dieser ID.

grep 10003 /etc/passwd

8. Im Optimalfall finden Sie durch diese Maßnahme den User Account über welchen der Spam gesendet wird.

webuser:x:10016:1016::/var/www/vhosts/domain.de:/bin/false

Sollte der User ein Systemeigner User sein z.B. www-data so kann davon ausgegangen werden das der Spam über ein PHP Script gesendet wird.

Eine Anleitung für eine solche Problematik finden Sie unter folgenden Link: Qmail Spam über ein PHP Skript