Mail sunucularında karşılaşılan en önemli sorunlardan biri, sunucudan yetkisiz şekilde dışarıya e-posta gönderilmesi, yani outbound spam problemidir. Bu durum yalnızca e-posta trafiğini olumsuz etkilemez, aynı zamanda IP adresinin spam listelerine eklenmesine yol açabilir.
Outbound Spam Kavramı
Outbound spam, bir mail sunucusunun yetkisi dışında e-posta göndermesi durumunu ifade eder. Bu gönderimler çoğunlukla spam içerik taşır. Aynı e-posta çok sayıda alıcıya iletilir. Alıcı adresleri rastgele belirlenir.
Outbound spam genellikle ele geçirilmiş sistem bileşenleri üzerinden gerçekleşir. En yaygın sebep zayıf parola kullanılan e-posta hesaplarıdır. Yetersiz güvenliğe sahip web uygulamaları da ciddi risk oluşturur.
Outbound Spam İçin İlk Kontrol Noktası
Outbound spam şüphesinde ilk olarak kontrol edilmesi gereken alan mail kuyruğudur. Sağlıklı çalışan bir sistemde mail kuyruğu genellikle küçük kalır. Gönderilen e-postalar kısa sürede teslim edilir. Kuyrukta uzun süre bekleyen mesajlar görülmez.
Mail kuyruğunda olağan dışı birikme tespit edildiğinde, özellikle PHP tabanlı uygulamaların güvenliği gözden geçirilmelidir. Alınması gereken güvenlik önlemleri için bu konuyu detaylı ele aldığımız ilgili yazıya bakılabilir.
Posta Kuyruğu Üzerinden İnceleme
Outbound spam şüphesi oluştuğunda ilk olarak mail sunucusundaki posta kuyruğu kontrol edilmelidir. Sorunsuz çalışan sistemlerde e-postalar kısa sürede teslim edilir ve kuyrukta sınırlı sayıda mesaj yer alır.
cPanel ve WHM kullanılan sunucularda Exim posta kuyruğuna grafik arayüz aracılığıyla erişim sağlanabilir.
WHM paneline giriş yapılır. Sol üst bölümde bulunan arama alanına E-posta yazılır ve Posta Kuyruğu Yöneticisi seçilir.
Bu ekranda, Exim tarafından sunucu üzerinde bekletilen tüm e-postalar listelenir.
Bu aşamada arama alanına ilgili kullanıcı adı girilerek filtreleme yapılmalı ve rapor çalıştırılmalıdır. Aynı kullanıcıya ait çok sayıda bekleyen mesajın bulunması, basit bir teslimat gecikmesinden daha ciddi bir duruma işaret edebilir.
Kuyrukta yer alan bazı iletiler frozen olarak işaretlenmiş olabilir. Bu durum, Exim’in teslimat sırasında bir hata algıladığı ve mesajı geçici olarak durdurduğu anlamına gelir. Sistem bu iletileri beklemede tutar ve belirli aralıklarla yeniden göndermeyi dener.
Mesaj detay ekranında iki temel işlem seçeneği bulunur. Mesaj kuyruktan silinebilir ya da yeniden gönderim denenebilir. Sorun geçici nitelikteyse ve alıcı tarafında alan açıldıysa, gönderim başarıyla tamamlanabilir.
Mail kuyruğu bu aşamadan sonra tekrar kontrol edilmelidir. Kısa sürede hızla büyüyen kuyruklar, ele geçirilmiş hesaplar veya izinsiz mail gönderimlerinin göstergesi olabilir.
En Fazla Mail Gönderen Hesapların Belirlenmesi
Mail kuyruğunda yer alan iletilerin hangi kullanıcı tarafından üretildiğini analiz etmek, spam kaynağını tespit etmek açısından kritik öneme sahiptir.
postqueue -p | awk '{print $7}' | sort | uniq -c | sort -nr | headBu komut çıktısı sayesinde kısa süre içerisinde en fazla e-posta gönderen kullanıcılar veya domain’ler doğrudan görülebilir.
Mail Log Analizi ile Spam Davranışlarının İzlenmesi
Mail sunucularında asıl durum log dosyaları incelendiğinde ortaya çıkar. Postfix kullanılan sistemlerde mail log kayıtları çoğunlukla /var/log/maillog dosyasında tutulur.
Başarılı SMTP gönderimlerini görüntülemek için aşağıdaki komut kullanılabilir.
grep "status=sent" /var/log/maillogSMTP Auth üzerinden yapılan gönderimleri ayıklamak için ise şu komut çalıştırılabilir.
grep "sasl_username" /var/log/maillog | sort | uniq -c | sort -nr | headKısa süre içerisinde çok sayıda SMTP oturumu açan bir kullanıcı, çoğu zaman ele geçirilmiş bir hesabı işaret eder.
Web Kaynaklı Spam Gönderimi
Outbound spam sadece mail hesaplarından çıkmaz. Web uygulamaları da spam üretebilir. PHP tabanlı script’ler sık kullanılır. Özellikle WordPress siteler risklidir.
PHP kaynaklı gönderimleri görmek için şu komut kullanılabilir:
grep "php" /var/log/maillogBu çıktılar web tabanlı spam aktivitelerini işaret eder.
WordPress tabanlı sitelerde e-posta gönderimi doğru yapılandırılmadığında bu tür spam problemleri sık ortaya çıkar. WordPress e-posta sorunlarının cPanel SMTP ile nasıl çözülebileceği bu rehberde detaylı şekilde ele alınmıştır.
Anlık SMTP Bağlantılarını İzleme
Spam aktifken SMTP bağlantı sayısı artar. Sunucu aynı anda çok sayıda bağlantı kurar. Bu durum anlık olarak izlenebilir.
ss -tanp | grep :25<br>ss -tanp | grep :587IP Blacklist Kontrolü Neden Yapılır?
Outbound spam tespit edildiğinde IP adresi genellikle blacklist’e girer. Bu durumda giden mailler karşı sunucular tarafından reddedilir. Mail gönderimi durur.
Blacklist’e giren IP’lerin temizlenmesi zaman alır. Bu süreçte mail hizmeti zarar görür.
Uzun Vadede Outbound Spam Nasıl Önlenir?
Outbound spam tek seferlik müdahale ile çözülmez. Kalıcı önlemler alınmalıdır.
SPF kayıtları doğru yapılandırılmalıdır. DKIM ve DMARC aktif olmalıdır. SMTP Auth için rate limit uygulanmalıdır. Fail2Ban ile brute-force denemeleri engellenmelidir.
Web uygulamaları güncel tutulmalıdır. PHP mail kullanımı sınırlandırılmalıdır. Günlük outbound mail limitleri tanımlanmalıdır.