我如何才能知道哪个应用程序正在发送电子邮件?
我在服务器上安装了 qmail。我想检查是否有某种发送电子邮件的脚本或应用程序(例如垃圾邮件应用程序)。有可能找出答案吗?
答案1
qmail 在邮件头中用数字形式表示系统账户的用户 ID。查找以下格式的邮件头:
已收到:(qmail 24531 由 uid 533 调用);2010 年 8 月 26 日 21:08:19 -0000
在此示例中,您可以快速看到用户 533 已生成此邮件。在用户明确分开的 Web 托管环境中,这应该会很有帮助。
然而,qmail 无法告诉您哪个应用程序创建了该邮件(事实上,邮件可能通过管道到达 qmail,/var/qmail/bin/qmail-inject因此/usr/sbin/sendmailqmail 无法知道谁在生成邮件。
如果您遇到垃圾邮件发送者,最好检查一下access_log:查找与相关邮件的时间戳相同的时间戳。
答案2
检查是否是由rootkit下载引起的并运行rootkit_hunter: http://www.rootkit.nl/projects/rootkit_hunter.html