Как понять, с какого сайта шли спам-письма?

При жалобах на спам принято добавлять заголовки письма.

не всегда хватает, например форумы все еще имеют механизм отправки лс на почту регистранту, в заголовке будет муть и обратный мэйл сервиса рассылки форума.

Хорошо когда мэйлер возвращает и часть тела, где уже можно найти хоть какие-то подробности о боте

Начни с логов почтового сервера.

Варианты отправки:

• Напряму, если разрешены коннекты по tcp куда угодно на порт 25
• через локальный почтовый сервер
• через php-шный mailer (битрикс ведь на php)

Но вот заголовк письма со спамом хорошо бы посмотреть, т.к. там могут быть подсказки.

IMHO второй вариант наиболее сложный.

В общем случае почти никак, ведь спамер может слать через свой smtp-клиент и никаких логов таким образом не оставить (кроме логов файрволла про коннекты к 25 портам, если ты такие настроил).

В ней несколько сайтов на Bitrix.

Это даже может быть не один из реальных владельцев. Битрикс дырявое говно, там уже побывало больше хакеров чем вы можете себе представить.

Я в курсе про Битрикс. Спасибо.

А у меня только вот такое письмо, и больше ничего нет:

We have received a complaint about spam hits listed at UCEPROTECT outgoing

from your server. See the detailed complaint below. Please fix this incident within the next 48 hours. If this incident isn’t fixed within the given time frame, your server’s network will be deactivated without additional warnings until the abuse has been solved.

Involved IP address : Мой IP

** PLEASE NOTE

• Always report back to us as soon as the abuse has been solved to avoid further steps.

=== Abuse details ===

«IP» «HITS» «DATE» ┌───────────────┬─┬────────────────┐ │Мой IP │3│04.12.2024 09:49│ └───────────────┴─┴────────────────┘

You can view the Concrete allegations under the following website: http://www.uceprotect.net/en/rblcheck.php? Select the IP drop down Field and enter your Involved IP address. On the following site you can see why your IP got listed by UCEPROTECT

www.uceprotect.net
www.uceprotect.net - Spammers worst nightmare became true
Spammers worst nightmare became true. Spammers wich send email to our Spamtraps blacklist their IPs in real time. If you are maintaining one or more Mailservers, UCEPROTECT® is the best Solution for you. Our global BLACKLIST can be downloadet for free.

и сегодня ┌───────────────┬──┬────────────────┐ │ Мой IP │10│06.12.2024 07:41│ └───────────────┴──┴────────────────┘

вирусня у клиента, либо троян на серверах.
ищи кто генерит трафик в их сторону.
поставь NG-FW, он сам всё покажет и расскажет.🤡🤡🤡

А,

Мой IP - это адрес сервера, на котором моя панель ISPConfig с сайтами.

Вдруг вы не так поняли.

Debian 9

ISPConfig

несколько сайтов на Bitrix

Прям максимальное комбо.

А про ISPConfig поясните, пожалуйста. Панель тоже славная наравне с Битриксом?

Debian 9

Он по своей древности уязвим?

Да.

Да.

Если предполагается отсылка писем, то лучше всего настроить ретранслятор, а все остальные исходящие соединения на 25 порт нещадно резать пакетным фильтром.

Ок. А вместо ISPConfig просто вручную сайты заливать на сервер?

А что если сходить в этот rblcheck, ввести там свой IP и посмотреть на образец письма, как думаете, можете помочь?

А я ходил. Вводил адрес. Никакой дополнительной информации, только сроки блокировки там указаны.

Зачем вручную. Лучше всего git. Или какой-нибудь Jenkins.

А какие вообще письма рассылаются с сервера? В смысле те, о которых ты знаешь что они вот прям нормальные, не спам.

SPF, DKIM и DMARC вообще настроены?

Мой IP - это адрес сервера, на котором моя панель ISPConfig с сайтами.

man routing
fyi

Пункт первый, убедиться что письма таки действительно рассылаются. Берем тцпдамп, пишем дамп, ищем письма, берем заголовки, читаем.