550 SC-001 Mail rejected by Windows Live Hotmail for policy reasons. Reasons for rejection may be related to content with spam-like characteristics or IP/domain reputation problems. If you are not an email/network admin please contact your E-mail/Internet Service Provider for help. Email/network admins, please visit http://postmaster.live.com for email delivery information and support

diye şikayet etmeye başlarlarlar. Sonra sunucunuzu dnsstuff.com'dan ya da mxtoolbox.com dan spam listelerine girip girmediğine bakmak istediğinizde size 3-5 noktası kırmızı işaretli bir liste çıkar. Yani sunucumuz spam yollamaya başlamıştır. İşte asıl sorun bundan sonra başlar. Sunucuzda bu tip bir durumda yapabileceğiniz bazı işlemleri anlatmaya çalışacağım.

İlk olarak sunucumuzun bu mailleri yollayabilmesinin başlıca iki yolu vardır. Birincisi Exim ile, ikincisi sunucuda çalışan bir script ile. Exim ile yollanıyor ise, sunucuda tanımlı eposta hesaplarından birisinin hacklenmiş olması, hesabın kotasının dolmuş olması ve bu yolla backscatter yapılıyor olması muhtemeldir. Exim ile işimiz, elimizde log olması nedeni ile nispeten kolaydır. WHM üzerindeki "Mail Queue Manager" ile mail kuyruğunu takip edebilirsiniz ve spam olması muhtemel epostaların içini açıp gönderenini  görebilrisiniz. Backscatter konusunda ise yine aynı yolu takip edip bounce mailleri yakalamanız gerekli. Backscatter tekniği basitçe, kotası dolan posta kutularının mesajı reddetmesi ilkesine dayanıyor. Mailin asıl yollanmak istendiği yer, mailin kaynağı gibi size iletiliyor ve siz de red cevabını bu postaya yolluyorsunuz gerçek atan yerine ve giden spam mailin göndereni konumuna düşüyorsunuz. Sunucumuzda SPF kontrolünü aktif etmek bu sorunu çözebiliyor ancak SPF kaydı olmayan birçok domainden de mail akışını engellemiş olabiliyoruz. Bir çeşit trade-off durumu ortaya çıkıyor.

Sunucumuzdan giden spam postaların yakalanması zor kaynağı ise sunucudaki scriptlerdir. Sunucuzdaki herhengi bir kullanıcının upload ettiği basit bir script ile, exim'i bypass ederek istenilen heryere eposta atılabilir. Popülerliği nedeni ile en çok php ile bu tip işlemler yapılmakta. Bu scriptlerin herhangi bir log tutmaması, yani atılıdıktan sonra sunucuda bir iz bırakmaması tespitini zorlaştırmakta. Fakat buna da birkaç çözüm yolu mevcut. Bence en kolay olanlarından birisi, Easyapache ye eklenen MailHeaders özelliği.  Sunucuda kurulu php'ye Easyapache vasıtası ile yapılan bu yama sayesinde, sunucudan php ile giden tüm maillerin başlıkları etiketlenmekte.

X-PHP-Script: www.example.com/~user/testapp/send-mail.php for 10.0.0.1

Bu şekilde etiketlenen mailler, size ya da ISP nizin abuse departmanına şikayet edildiğinde, problemli scripti yakalayabiliyorsunuz. Ayrıca şimdiye kadar denemediğim ancak işe yaraması muhtemel bir yok, iptables'ın user eklentisi. Sunucudan giden bağlantıları, bağlantıyı açan işlemin kullanıcı numarasına göre tasnif edebilen bu eklenti ile sadece Exim'in uid değerini taşıyan işlemlere izin verebilir, diğerlerine izin vermeyebilir, ya da loglayabilirsiniz.

Son olarak birkaç öneri daha. Sunucunuzda ASSP, Spamassasin gibi bir spam koruma, gelen postalarınız için kesinlikle aktif olmalı. Zira sunucuzdan dışarı giden spam maillerin sebebi olabilirler. WHM de son zamanlarda eklenen , her alan adının mail yollarken kendi ip adresini kullanmasını sağlayan "Automatically send outgoing mail from the account's IP address instead of the main IP address" özelliği sunucuzda aktif olsun.  Bu şekilde birden fazla ip adresi kullanıyor ise sunucumuz, sorunu sunucudaki tüm kullanıcılara yansıtmamış olur, sadece problemli ip adresine odaklanmış oluruz. Spamsız günler

X-PHP-Script: www.example.com/~user/testapp/send-mail.php for 10.0.0.1
X-PHP-Script: www.example.com/~user/testapp/send-mail.php for 10.0.0.1