اگر از آدرس ایمیل شما مثلاً info@yourdomain.com اسپم ارسال میشود اما در هدر ایمیل یا گزارشهای اسپم یک IP ناشناس دیده میشود، چند سناریو محتمل وجود دارد:
1. جعل آدرس فرستنده (Email Spoofing)
رایجترین حالت است. مهاجم اصلاً به سرور شما دسترسی ندارد و فقط آدرس شما را در فیلد From قرار میدهد.
نشانهها:
- IP ارسالکننده متعلق به سرور شما نیست.
- در لاگ Exim سرور شما اثری از آن ایمیل وجود ندارد.
- SPF یا DKIM در هدر ایمیل Fail میشود.
2. لو رفتن رمز عبور یک اکانت ایمیل
اگر رمز یک اکانت مانند info@domain.com لو رفته باشد، مهاجم میتواند از هر سروری در دنیا به SMTP شما متصل شود و ایمیل ارسال کند.
بررسی:
- در WHM یا cPanel لاگهای SMTP Authentication را بررسی کنید.
- ببینید ورودهای SMTP از IPهای ناشناس وجود دارد یا خیر.
- رمز همه اکانتهای ایمیل را تغییر دهید.
3. استفاده از SMTP Relay یا سرویس ثالث
ممکن است سایت یا اسکریپتی که متعلق به شماست از سرویس دیگری برای ارسال ایمیل استفاده کند و آن IP مربوط به همان سرویس باشد.
4. هک شدن وبسایت
اگر سایت وردپرسی یا PHP شما آلوده شده باشد، ممکن است از طریق API یا SMTP خارجی اسپم ارسال کند.
بررسی:
- صف Exim (
exim -bp) - لاگ
/var/log/exim_mainlog - فایلهای مشکوک PHP
- افزونههای وردپرس
مهمترین قدم تشخیصی
هدر کامل (Full Headers) یکی از ایمیلهای اسپم را پیدا کنید و این موارد را ارسال کنید:
- خطوط
Received: - نتیجه SPF
- نتیجه DKIM
- نتیجه DMARC
(میتوانید آدرسهای ایمیل را مخفی کنید.)
با دیدن هدرها معمولاً در چند دقیقه مشخص میشود:
- ایمیل واقعاً از سرور شما ارسال شده،
- از طریق SMTP اکانت شما ارسال شده،
- یا فقط آدرس شما جعل شده است.