Wird Spam über ein PHP Script versendet so geschieht das meist über einen Systeminternen User z.B. www-data. Hierbei ist ohne Aufzeichnung der ausgehenden Mails nicht möglich den Domain Account zu lokalisieren.

1. Loggen Sie sich auf der Konsole ein

2. Erzeugen Sie im qmail/bin Verzeichnis eine Datei namens „sendmail-wrapper“.

touch /var/qmail/bin/sendmail-wrapper

3. Geben Sie der sendmail-wrapper die Rechte “a+x”.

chmod a+x /var/qmail/bin/sendmail-wrapper

3.1. Editieren Sie diese Datei.

nano /var/qmail/bin/sendmail-wrapper

3.2. Fügen Sie anschließend folgende Quellcode ein.

#!/bin/sh
(echo X-Additional-Header: $PWD ;cat) | tee -a /var/tmp/mail.send|/var/qmail/bin/sendmail-qmail “$@”

4. Danach erzeugen Sie im “var/tmp” Verzeichnis eine Logdatei namens „mail.send“ und verknüpfen den senmail-wrapp. Führen Sie dazu alle nachfolgenden Befehle nacheinander aus.

touch /var/tmp/mail.send
chmod a+rw /var/tmp/mail.send
mv /var/qmail/bin/sendmail /var/qmail/bin/sendmail-qmail
ln -s /var/qmail/bin/sendmail-wrapper /var/qmail/bin/sendmail

Je nach Anzahl der ausgehenden Spamnachrichten sollten Sie das Script eine Weile laufen lassen.

5. Untersuchen Sie anschließen die Datei mail.send

grep X-Additional /var/tmp/mail.send | grep `cat /etc/psa/psa.conf | grep HTTPD_VHOSTS_D | sed -e ‘s/HTTPD_VHOSTS_D//’ `

(achten Sie auf „`“ am Ende des Befehls.)

Sofern der Spam über ein PHP Script gesendet wird, sollten der Header auf Domain und Ursprungsverzeichnis verweisen.

6. Haben Sie die Maßnahme abgeschlossen, so geben Sie folgende Befehle ein um die Verknüpfung zu entfernen.

rm -f /var/qmail/bin/sendmail
ln -s /var/qmail/bin/sendmail-qmail /var/qmail/bin/sendmail