SPAM che supera controllo SPF

[eiyen]

Su un server virtuale in cui c'è un dominio che gestisco (diciamo "example.com") e con un controllo SPF per l'invio che autorizza solo l'ip del server stesso e google e SMTP con password, c'è un account di posta "account@example.com" che redireziona le mail su "account@gmail.com".

Ho ricevuto una mail di spam composta come di seguito riportato (cui poi segue una piccola parte in HTML che qui non includo) dove

---ACCOUNT--- è l'account sul server e su gmail
---IP--- è l'ip del server virtuale
uid=110 è l'utente "popuser" del server (era preconfigurato)

Non capisco come sia stato inviato, perchè non "vedo" il mittente "reale" e il controllo SPF non ha rilevato alcunchè, indicando come autorizzato l'ip del server stesso (come se fosse stato inviato da lì!).

Vorrei qualche suggerimento su cosa controllare/configurare per questo tipo di problema? Soprattutto mi sembra quasi che la mail sia inviata tramite il server virtuale... grazie!!

codice:

Delivered-To: ---ACCOUNT---@gmail.com

Received: by ---unknown_ip_a--- with SMTP id ---id_a---;
        ---WEEKDAY---, ---DATE--- 07:20:51 -0700 (PDT)

Received: by ---unknown_ip_b--- with SMTP id ---id_b---;
        ---WEEKDAY---, ---DATE--- 07:20:50 -0700 (PDT)

Return-Path: <---ACCOUNT---@---DOMAIN--->

Received: from ---SERVER_NAME--- ([---IP---])
        by mx.google.com with ESMTPS id ---id_c---
        (version=TLSv1/SSLv3 cipher=OTHER);
        ---WEEKDAY---, ---DATE--- 07:20:50 -0700 (PDT)

Received-SPF: pass (google.com: domain of ---ACCOUNT---@---DOMAIN--- designates ---IP--- as permitted sender) client-ip=---IP---;

Authentication-Results: mx.google.com; spf=pass (google.com: domain of ---ACCOUNT---@---DOMAIN--- designates ---IP--- as permitted sender) smtp.mail=---ACCOUNT---@---DOMAIN---

Date: ---WEEKDAY---, ---DATE--- 07:20:50 -0700 (PDT)

Message-Id: <---MSG_ID---@mx.google.com>

Received: (qmail 18287 invoked by uid 110); ---DATE--- 16:20:48 +0200

Delivered-To: 1----ACCOUNT---@---DOMAIN---

Received: (qmail 18281 invoked from network); ---DATE--- 16:20:48 +0200

Received: from unknown (HELO audrey-7ce7b06c) (---unknown_ip_d---)
  by ---SERVER--- with SMTP; ---DATE--- 16:20:47 +0200

To: <---ACCOUNT---@---DOMAIN--->

Subject: ---ACCOUNT---@---DOMAIN--- ........................................................

From: <---ACCOUNT---@---DOMAIN--->

MIME-Version: 1.0

Content-Type: text/html; charset="ISO-8859-1"

Content-Transfer-Encoding: 7bit

[eiyen]

...ho trovato in giro che sembrerebbe (come pareva anche a me) che sia conseguenza di un accesso con un invio via SMTP attraverso il server... ci sono alcuni domini con varie caselle, ma la maggior parte non ha una mailbox... cmq ho impostato per tutti delle password (anche se non hanno mailbox)... non sono certo di cosa guardare nel maillog per capire attraverso quale account sia avvenuto l'invio

[eiyen]

(per referenze future continuo ad aggiornare il post)

Ho verificato che nel server è impostato il relay con autenticazione smtp, ma non con autenticazione pop3 che ho aggiunto, anche se di default non era presente...

[eiyen]

Il server utilizza PLESK e qmail e ho trovato un'indicazione di quello che pare essere un bug ([SECURITY HOLE] Plesk SMTP Service (QMail) acts as an open relay), ma la soluzione proposta non ha risolto il mio problema... la connessione via telnet continua cmq ad accettare connessioni senza autenticazione!

Plesk + qmail + xinetd.d : come "forzare" la richiesta di autenticazione smtp? Speriamo in qualche idea... :)