Xác định nguyên nhân và cách khắc phục lỗi Spam Mail trên VPS

Nhận biết:
VPS của bạn tự nhiên chậm, RAM và CPU tăng cao
Email không đến được người nhận
DirectAdmin thông báo lượng mail gửi ra nhiều
Địa chỉ IP bị Blacklist

Nguyên nhân:
Nếu là máy chủ website có thể source code bạn có vấn đề. Hãy chắc chắn rằng các module, plugin, theme là đáng tin cậy.
SMTP spam: Có thể tài khoản nào đó bị đánh cắp
User chủ động spam mail ra ngoài (Email Marketing)

Cách xác định

# exim -bpc    // số lượng mail queue. Nếu lượng mail queue > 100 mail thì chắc chắn vps của bạn đang spam ra ngoài.

# exim -bp    / danh sách mail trong mail queue. Tại đây bạn sẽ thấy user nào đang spam ra ngoài.

Bạn cũng có thể kiểm tra log bằng lệnh:

# cd/var/log/exim

# tail -n 100 mainlog |more

hoặc

tail -n 10000 mainlog |grep user@example.com |more    // lệnh này sẽ liệt kê log theo user được truy vấn

Để xem nội dung mail dùng lệnh sau:

# exim -Mvh [id]    // id dạng 1VwdCb-0001ze-5c

Xoá một mail đang nằm trong Queue:

# exim -Mrm {message-id}

Xoá toàn bộ email đang có trong Queue:

# exim -bp | awk ‘{ print $3 }’ | xargs exim -Mrm

Gửi toàn bộ email đang có trong Queue:

# /usr/sbin/exim -bp |awk ‘{print $3}’ | xargs -n 1 -P 40 /usr/sbin/exim -v -M

Tìm nguồn spam

Giả sử rằng sau một loạt câu lệnh trên bạn đã tìm được user nào đang spam. Việc làm đầu tiên là bạn nên suspend tài khoản đó để tạm dừng việc spam. Sau đó bạn vào source code của user đó:

# cd /home/username/domains/example.com/public_html

Cách tốt nhất là bạn download source code về máy dùng các trình antivirus để quét. Đừng quên backup lại một bản vì có thể khi quét sẽ mất file làm hỏng source. Thường thì các file mã độc này sẽ được mã hóa. Tuy nhiên bạn có thể tìm nhanh bằng câu lệnh sau:

# find . -name ‘*.php’ | while read FILE; do if grep ‘eval(base64_decode’ “$FILE”; then echo “$FILE” >> filemadoc; fi ; done

hoặc

# find . -name ‘*.php’ | while read FILE; do if grep ‘eval(base64_decode’ “$FILE”; then echo “$FILE”; fi ; done

Cách khắc phục lỗi Spam Mail trên VPS

Nếu bạn có ý thức nhận email trả lại như “Máy chủ thư đã phát hiện thư của bạn là spam và đã ngăn gửi thư” sau khi cập nhật bất kỳ bảng nào, bạn có thể làm theo các bước dưới đây để ngăn các email bị trả lại đó. Điều này có thể được thực hiện với Apache SpamAssassin ™. Apache SpamAssassin là một chức năng email sử dụng tính năng lọc spam và kiểm tra mạng để kiểm tra email đến và kiểm tra các đặc tính spam. SpamAssassin kiểm tra các email với một số điểm tổng thể để xác định xem nó nên loại bỏ một tin nhắn.

1) Đăng nhập vào WHM.

2) Điều hướng đến Trình quản lý cấu hình Exim.

3) Nhấp vào tab Bộ lọc trong chế độ Trình chỉnh sửa cơ bản.

4) Bây giờ bạn có thể đặt Apache SpamAssassin ™: ngưỡng thư rác bị trả về là 4. Sau đó,  nhận được thư bị trả lại khi điểm số spam nằm trên số này. (số dương hoặc âm, một chữ số sau dấu thập phân được phép). Theo mặc định, các cài đặt được đặt thành Không nảy theo điểm spam nhưng có thể thay đổi cài đặt để bảo mật máy chủ.

5) Nhấp vào nút lưu để phản ánh các thay đổi. Lưu ý: Điều quan trọng là phải hiểu rằng việc thực hiện bất kỳ thay đổi nào trong số này sẽ ảnh hưởng đến tất cả các tài khoản email trên toàn bộ máy chủ. Do đó, bạn nên đảm bảo rằng tất cả các khách hàng của bạn đều biết các cài đặt bạn đang thay đổi.