il mio server manda via spam! come lo fermo?

[ghibux]

Ciao a tutti
da giorni ormai ho un fenomeno di bordate di email che il mio server Linux Centos invia.

Sto cercando di capire la fonte (script, buco nel server, uso di un account mail)
Nel server ci sono intallati 75 siti con 250 account email

ecco cosa ho fatto

• Analisi di QMAIL non mi da riferimenti x determinare da dove partono queste mail

• Disattivato la possibilità a PHP (quindi a tutti gli script installati sul serer) di inviare email ma senza risultato

• Bloccato totalmente da iptables il traffico INPUT sula porta TCP 25 , il fenomeno si è arrestato ma così i clienti non ricevono le email ai loro account mail presenti sul server

Ho visto che

• Le email partono da account sconosciuti, verso account altrettanto sconosciuti

eccone una

codice:

Received: from myserver.ghibux.tld ([IPdelServer])
       by ghibux.tld (ghibux.tld)
       (MDaemon PRO v9.5.6)
       with ESMTP id md50000326423.msg
       for <yn_lj@yahoo.com>; Thu, 02 Dec 2010 15:46:24 +0100
Received: (qmail 21671 invoked from network); 2 Dec 2010 15:46:13 +0100
Received: from unknown (HELO lrwdj) (61.145.218.94)
 by mysmtp.servexxx.tld with SMTP; 2 Dec 2010 15:46:12 +0100
From: =?GB2312?B?zfh8wud8ted8ytM5WFU4?= <imr@account.net>
Subject: =?GB2312?B?w+K30XzK1b+0fM7lx6fN+MLnted8ytPMqDEybFA=?=
To: yn_lhc@yahoo.com.cn
Content-Type: text/plain;
       charset="GB2312"
MIME-Version: 1.0
Content-Transfer-Encoding: base64
Date: Thu, 2 Dec 2010 22:46:10 +0800
X-Spam-Processed: ghibux.tld, Thu, 02 Dec 2010 15:46:24 +0100
       (not processed: message from trusted or authenticated source)
X-MDRemoteIP: IPdelServer
X-Return-Path: imr@account.net
X-Envelope-From: imr@account.net
X-MDaemon-Deliver-To: yn_lj@yahoo.com
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==

myserver.ghibux.tld nome usato per sostituire il nome del server reale
IPdelServer nome usato per sostituire iIP del server reale
ghibux.tld nome usato per sostituire nome del server smtp reale

non posso bloccare quell'ip che vedete 61.145.218.94, perchè cambia molto spesso.

come faccio ad individuare da dove proviene la problematica e tappare la falla?

[paolino_delta_t]

Gli header dicono tutto e cioè che il server smtp è settato per fungere da relay anche per host esterni.

Semplicemente o il server non è adeguatamente settato per cui permette il relaying anche senza autenticazione o qualcuno ha scovato qualche password.

[ghibux]

capito cosa dici solo che nn trovo riscontro nel settaggio che ho messo a QMAIL

Qmail ha correttamente settato il file
rcpthosts con tutti gli host concessi

infatti se faccio una prova via telnet ed invio ad un na mail @hostname che non è in lista mi dice

codice:

553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

a questo punto come è possibile che riescano a bypassare l'rcpthosts?

[paolino_delta_t]

Non è che il tuo pc ha un malware?