Mail sunucularında yaşanan en kritik problemlerden biri, sunucudan dışarıya izinsiz e-posta gönderimi, yani outbound spam sorunudur. Bu durum yalnızca mail trafiğini bozmakla kalmaz, aynı zamanda IP adresinin spama girmesine neden olabilir.
Outbound Spam Nedir?
Outbound spam, mail sunucunun yetkili olmayan şekilde e-posta göndermesidir. Bu gönderimler genellikle spam içeriklidir. Aynı mesaj çok sayıda alıcıya gider. Alıcılar rastgele seçilir.
Outbound spam çoğu zaman ele geçirilmiş kaynaklar üzerinden gerçekleşir. En yaygın neden zayıf parola kullanılan e-posta hesaplarıdır. Güvenliği zayıf web uygulamaları risk oluşturur.
Outbound Spam İlk Kontrol
Outbound spam şüphesinde ilk bakılması gereken yer mail kuyruğudur. Normal bir sistemde mail kuyruğu küçük olur. Gönderilen e-postalar hızlı şekilde teslim edilir. Kuyrukta uzun süre bekleyen mesajlar olmaz.
Mail kuyruğunda anormal birikme tespit edildiğinde, özellikle PHP tabanlı uygulamaların güvenliği kontrol edilmelidir. Bu alacağımız güvenlik önlemleri için ilgili yazımıza göz atabilirsiniz.
Posta Kuyruğu Üzerinden İnceleme
Outbound spam şüphesinde ilk olarak mail sunucusundaki posta kuyruğunu kontrol edelim. Normal çalışan sistemlerde e-postalar hızlı teslim edilir ve kuyrukta az sayıda mesaj bulunur.
cPanel ve WHM kullanılan sunucularda Exim posta kuyruğuna grafik arayüz üzerinden erişebiliriz.
WHM paneline giriş yapalım. Sol üstteki arama alanına E-posta yazalım ve Posta Kuyruğu Yöneticisi bölümüne tıklayalım.
*Karşımıza gelen ekran, sunucu üzerinde Exim tarafından bekletilen tüm e-postaları gösterir.
Bu aşamada arama alanına kullanıcı adını yazalım ve filtreleyip raporu çalıştıralım. Aynı kullanıcıya ait çok sayıda bekleyen mesaj varsa, bu durum basit bir gecikmeden daha ciddi bir soruna işaret edebilir.
Kuyrukta bazı iletiler frozen durumda olabilir. Bu, Exim’in bir sorun algılayıp mesajı geçici olarak durdurduğu anlamına gelir. Sistem iletileri bekletir ve aralıklarla yeniden dener.
Mesaj detay ekranında iki temel seçenek vardır. Mesajı kuyruktan silelim ya da tekrar göndermeyi deneyelim. Sorun geçiciyse ve alıcıda yer açıldıysa, yeniden gönderim başarılı olabilir.
Daha sonra mail kuyruğunu kontrol edelim. Hızla büyüyen kuyruklar, ele geçirilmiş hesaplar veya izinsiz mail gönderimlerinin erken işaretidir.
En Fazla Mail Gönderen Hesapları Belirleme
Mail kuyruğundaki iletilerin hangi kullanıcıdan çıktığını analiz etmek spam kaynağını bulmak için önemlidir.
postqueue -p | awk '{print $7}' | sort | uniq -c | sort -nr | headBu çıktı sayesinde kısa sürede en çok mail gönderen kullanıcı veya domain doğrudan tespit edilebilir.
Mail Log Analizi ile Spam Davranışları İzleme
Mail sunucularda gerçek tablo log dosyalarında ortaya çıkar. Postfix kullanan sistemlerde log’lar genellikle /var/log/maillog dosyasında tutulur.
Başarılı SMTP gönderimlerini görmek için komutu girelim.
grep "status=sent" /var/log/maillogSMTP Auth üzerinden gönderilen mailleri ayıklamak içinse bu komutu kullanalım.
grep "sasl_username" /var/log/maillog | sort | uniq -c | sort -nr | headKısa sürede yüzlerce SMTP oturumu açan bir kullanıcı, genellikle ele geçirilmiş bir hesaba işaret eder.
Web Kaynaklı Spam Gönderimi
Outbound spam sadece mail hesaplarından çıkmaz. Web uygulamaları da spam üretebilir. PHP tabanlı script’ler sık kullanılır. Özellikle WordPress siteler risklidir.
PHP kaynaklı gönderimleri görmek için şu komut kullanılabilir:
grep "php" /var/log/maillogBu çıktılar web tabanlı spam aktivitelerini işaret eder.
WordPress tabanlı sitelerde e-posta gönderimi doğru yapılandırılmadığında bu tür spam problemleri sık görülür. WordPress e-posta sorunlarının cPanel SMTP ile nasıl çözülebileceği bu rehberde detaylı şekilde ele alınmıştır.
Anlık SMTP Bağlantılarını İzleme
Spam aktifken SMTP bağlantı sayısı artar. Sunucu aynı anda çok sayıda bağlantı kurar. Bu durum anlık olarak izlenebilir.
ss -tanp | grep :25
ss -tanp | grep :58725 numaralı port genellikle relay trafiği için kullanılır. 587 numaralı port trafiğidir. Bu portlarda olağan dışı yoğunluk spam belirtisidir.
IP Blacklist Kontrolü Neden Yapılır?
Outbound spam tespit edildiğinde IP adresi genellikle blacklist’e girer. Bu durumda giden mailler karşı sunucular tarafından reddedilir. Mail gönderimi durur.
Blacklist’e giren IP’lerin temizlenmesi zaman alır. Bu süreçte mail hizmeti zarar görür.
Uzun Vadede Outbound Spam Nasıl Önlenir?
Outbound spam tek seferlik müdahale ile çözülmez. Kalıcı önlemler alınmalıdır.
SPF kayıtları doğru yapılandırılmalıdır. DKIM ve DMARC aktif olmalıdır. SMTP Auth için rate limit uygulanmalıdır. Fail2Ban ile brute-force denemeleri engellenmelidir.
Web uygulamaları güncel tutulmalıdır. PHP mail kullanımı sınırlandırılmalıdır. Günlük outbound mail limitleri tanımlanmalıdır.