Mail sunucularında görülen en kritik durumlardan biri, sunucudan yetkisiz biçimde e-posta gönderilmesidir; bu durum outbound spam olarak ifade edilir. Söz konusu problem, yalnızca mail trafiğini etkilemekle sınırlı kalmaz, IP adresinin spam statüsüne düşmesine de yol açabilir.
Outbound Spam Nedir ?
Outbound spam, bir mail sunucusunun izinsiz şekilde e-posta üretmesi durumudur. Bu gönderimler çoğunlukla spam içeriklerden oluşur. Aynı mesaj çok sayıda alıcıya ulaştırılır. Alıcı adresleri rastgele seçilir.
Bu spam türü genellikle ele geçirilmiş sistem kaynakları kullanılarak gerçekleştirilir. Zayıf parola ile korunan e-posta hesapları en sık karşılaşılan sebeptir. Güvenliği yetersiz web uygulamaları da riski artırır.
Outbound Spam İçin Ön Kontrol Adımı
Outbound spam ihtimali söz konusu olduğunda ilk incelenmesi gereken alan mail kuyruğudur. Normal çalışan bir sistemde mail kuyruğu sınırlı sayıda mesaj içerir. E-postalar hızlı şekilde iletilir. Kuyrukta uzun süre bekleyen mesajlar oluşmaz.
Mail kuyruğunda olağan dışı bir artış tespit edilirse, PHP tabanlı uygulamaların güvenliği özellikle ele alınmalıdır. Bu kapsamda uygulanabilecek güvenlik adımları için ilgili rehbere göz atılabilir.
Posta Kuyruğu İncelemesi
Outbound spam şüphesi durumunda ilk olarak mail sunucusunun posta kuyruğu incelenmelidir. Normal çalışan bir sistemde e-postalar hızlı teslim edilir ve kuyrukta az sayıda ileti yer alır.
cPanel ve WHM altyapısına sahip sunucularda Exim posta kuyruğuna grafik arayüz aracılığıyla erişim sağlanır.
WHM paneline giriş yapıldıktan sonra sol üstteki arama alanına E-posta yazılır ve Posta Kuyruğu Yöneticisi bölümüne tıklanır.
Karşımıza çıkan ekran, Exim tarafından bekletilen tüm e-postaları listeler.
Bu aşamada arama alanına kullanıcı adı yazılarak filtreleme uygulanmalı ve rapor çalıştırılmalıdır. Aynı kullanıcıya ait çok sayıda bekleyen mesaj görülmesi, basit bir gecikmeden daha ciddi bir sorunun göstergesi olabilir.
Kuyrukta yer alan bazı iletiler frozen durumda bulunabilir. Frozen olarak işaretlenen mesajlar, Exim’in bir sorun algılayıp iletileri geçici olarak durdurduğunu gösterir. Sistem bu mesajları bekletir ve belirli aralıklarla yeniden göndermeyi dener.
Mesaj detay ekranında iki temel seçenek mevcuttur. Mesaj kuyruktan silinebilir ya da yeniden gönderim denenebilir. Eğer sorun geçici nitelikteyse ve alıcı tarafında yer açılmışsa, gönderim başarıyla tamamlanabilir.
Bu işlemlerden sonra mail kuyruğu tekrar kontrol edilmelidir. Hızla büyüyen kuyruklar, ele geçirilmiş hesaplar veya izinsiz mail trafiğinin işareti olabilir.
Mail Kuyruğuna Göre Gönderici Analizi
Mail kuyruğunda biriken iletilerin hangi kullanıcı tarafından gönderildiğini kontrol etmek, spam faaliyetlerini tespit etmek açısından önemlidir.
postqueue -p | awk '{print $7}' | sort | uniq -c | sort -nr | headBu komutun çıktısı, en fazla e-posta gönderen kullanıcı veya domain’lerin doğrudan görülmesini sağlar.
Mail Log İncelemesi ile Spam Aktivitesinin Tespiti
Mail sunucularda spam aktivitelerinin kaynağı, log dosyaları incelendiğinde ortaya çıkar. Postfix kullanılan sistemlerde bu kayıtlar genellikle /var/log/maillog dosyasında tutulur.
Başarılı SMTP iletilerini görmek için aşağıdaki komut çalıştırılabilir.
grep "status=sent" /var/log/maillogSMTP Auth üzerinden gönderilen mailleri ayıklamak amacıyla şu komut kullanılabilir.
grep "sasl_username" /var/log/maillog | sort | uniq -c | sort -nr | headKısa sürede yüksek sayıda SMTP oturumu açan bir kullanıcı, çoğunlukla ele geçirilmiş bir mail hesabına işaret eder.
Web Kaynaklı Spam Gönderimi
Outbound spam sadece mail hesaplarından çıkmaz. Web uygulamaları da spam üretebilir. PHP tabanlı script’ler sık kullanılır. Özellikle WordPress siteler risklidir.
PHP kaynaklı gönderimleri görmek için şu komut kullanılabilir:
grep "php" /var/log/maillogBu çıktılar web tabanlı spam aktivitelerini işaret eder.
WordPress ile çalışan sitelerde e-posta gönderimi doğru yapılandırılmadığında bu tarz spam problemleri sık karşılaşılan bir durumdur. WordPress e-posta sorunlarının cPanel SMTP ile nasıl çözülebileceği bu rehberde detaylı şekilde ele alınmıştır.
Anlık SMTP Bağlantılarını İzleme
Spam aktifken SMTP bağlantı sayısı artar. Sunucu aynı anda çok sayıda bağlantı kurar. Bu durum anlık olarak izlenebilir.
ss -tanp | grep :25
ss -tanp | grep :587IP Blacklist Kontrolü Neden Gereklidir?
Outbound spam tespit edildiğinde IP adresi genellikle blacklist listelerine dahil edilir. Bu durumda giden e-postalar alıcı mail sunucuları tarafından kabul edilmez. Mail trafiği kesintiye uğrar.
Blacklist’e giren IP adreslerinin temizlenmesi zaman gerektirir. Bu süreçte mail hizmetinin sağlıklı çalışması mümkün olmaz.
Uzun Vadeli Outbound Spam Önlemleri
Outbound spam sorunları tek bir müdahale ile tamamen ortadan kalkmaz. Kalıcı çözüm için sürekli güvenlik önlemleri uygulanmalıdır.
SPF kayıtları doğru biçimde yapılandırılmalıdır. DKIM ve DMARC aktif hale getirilmelidir. SMTP Auth trafiği için rate limit uygulanmalıdır. Fail2Ban ile brute-force saldırıları engellenmelidir.
Web uygulamaları güncel tutulmalıdır. PHP mail kullanımı sınırlandırılmalıdır. Günlük outbound mail gönderim limitleri belirlenmelidir.