Mail sunucu altyapılarında en kritik risklerden biri, sunucudan izinsiz e-posta çıkışı yaşanmasıdır ve bu durum outbound spam olarak tanımlanır. Böyle bir sorun sadece mail akışını bozmakla kalmaz, IP adresinin spam olarak işaretlenmesine de neden olabilir.
Outbound Spam Ne Anlama Gelir?
Outbound spam, mail sunucudan kontrolsüz biçimde e-posta çıkışı yapılmasıdır. Gönderilen mesajların büyük bölümü spam niteliğindedir. Tek bir mesaj birçok alıcıya yönlendirilir. Alıcılar belirli bir kriter olmadan seçilir.
Bu tür spam faaliyetleri çoğu zaman ele geçirilmiş kaynaklar üzerinden yürütülür. Zayıf parolaya sahip mail hesapları en sık karşılaşılan nedendir. Güvenliği eksik web uygulamaları bu riski artırır.
Outbound Spam Şüphesinde İlk İnceleme
Outbound spam ihtimali oluştuğunda ilk bakılması gereken yer mail kuyruğudur. Normal şartlarda çalışan bir sistemde mail kuyruğu düşük seviyede olur. Gönderilen e-postalar hızlı biçimde karşı tarafa ulaşır. Kuyrukta uzun süre kalan mesajlar bulunmaz.
Mail kuyruğunda anormal bir yoğunluk fark edilirse, öncelikle PHP tabanlı uygulamaların güvenliği kontrol edilmelidir. Bu kapsamda uygulanabilecek güvenlik önlemleri için ilgili rehber incelenebilir.
Posta Kuyruğunun Kontrol Edilmesi
Outbound spam ihtimali söz konusu olduğunda ilk adım mail sunucusundaki posta kuyruğunun incelenmesidir. Normal çalışan ortamlarda e-postalar hızlı şekilde iletilir ve kuyrukta az sayıda ileti bulunur.
cPanel ve WHM altyapısına sahip sunucularda Exim posta kuyruğuna grafik arayüz üzerinden ulaşmak mümkündür.
WHM arayüzüne giriş yapılır. Sol üstte yer alan arama alanına E-posta yazılır ve Posta Kuyruğu Yöneticisi bölümüne girilir.
Bu bölüm, Exim tarafından bekletilen tüm e-postaların görüntülendiği alandır.
Bu adımda arama alanına kullanıcı adı yazılarak filtreleme uygulanmalı ve rapor çalıştırılmalıdır. Aynı kullanıcıya ait çok sayıda bekleyen mesaj görülmesi, sıradan bir gecikmeden daha ciddi bir soruna işaret edebilir.
Kuyrukta bulunan bazı iletiler frozen durumda yer alabilir. Frozen mesajlar, Exim’in bir sorun tespit ederek mesajı geçici olarak durdurduğunu gösterir. Sistem bu iletileri bekletir ve belirli aralıklarla yeniden denemeye alır.
Mesaj detay ekranında iki temel seçenek yer alır. Mesaj tamamen silinebilir ya da yeniden gönderim denenebilir. Eğer sorun geçici ise ve alıcı tarafında yeterli alan açılmışsa, gönderim başarılı olabilir.
Bu işlemlerin ardından mail kuyruğu yeniden kontrol edilmelidir. Hızla artan kuyruklar, ele geçirilmiş kullanıcı hesapları veya kontrolsüz mail çıkışlarının erken işaretidir.
Yoğun Mail Gönderimi Yapan Hesapların Tespiti
Mail kuyruğundaki mesajların hangi kullanıcıya ait olduğunu incelemek, outbound spam’in kaynağını ortaya çıkarmak için önemli bir adımdır.
postqueue -p | awk '{print $7}' | sort | uniq -c | sort -nr | headElde edilen çıktı, en çok mail üreten kullanıcı veya domain’lerin hızlıca belirlenmesini sağlar.
Log Kayıtları Üzerinden Spam Davranışlarının Takibi
Mail sunucularda gerçek tablo, log kayıtlarının incelenmesiyle netleşir. Postfix altyapısına sahip sistemlerde bu kayıtlar genellikle /var/log/maillog dosyasında yer alır.
Sunucudan başarıyla gönderilen SMTP iletilerini görmek için aşağıdaki komut çalıştırılabilir.
grep "status=sent" /var/log/maillogSMTP Auth kullanılarak gönderilen e-postaları ayıklamak amacıyla ise şu komut kullanılabilir.
grep "sasl_username" /var/log/maillog | sort | uniq -c | sort -nr | headKısa sürede yüzlerce SMTP oturumu oluşturan bir kullanıcı, genellikle ele geçirilmiş bir mail hesabına işaret eder.
Web Kaynaklı Spam Gönderimi
Outbound spam sadece mail hesaplarından çıkmaz. Web uygulamaları da spam üretebilir. PHP tabanlı script’ler sık kullanılır. Özellikle WordPress siteler risklidir.
PHP kaynaklı gönderimleri görmek için şu komut kullanılabilir:
grep "php" /var/log/maillogBu çıktılar web tabanlı spam aktivitelerini işaret eder.
WordPress kullanılan sitelerde e-posta gönderimi doğru yapılandırılmazsa bu tip spam sorunları sık yaşanır. WordPress e-posta sorunlarının cPanel SMTP ile nasıl çözülebileceği bu rehberde detaylı şekilde ele alınmıştır.
Anlık SMTP Bağlantılarını İzleme
Spam aktifken SMTP bağlantı sayısı artar. Sunucu aynı anda çok sayıda bağlantı kurar. Bu durum anlık olarak izlenebilir.
ss -tanp | grep :25
ss -tanp | grep :587IP Blacklist Kontrolü Neden Yapılır?
Outbound spam tespit edildiğinde IP adresi genellikle blacklist’e girer. Bu durumda giden mailler karşı sunucular tarafından reddedilir. Mail gönderimi durur.
Blacklist’e giren IP’lerin temizlenmesi zaman alır. Bu süreçte mail hizmeti zarar görür.
Uzun Vadede Outbound Spam Nasıl Önlenir?
Outbound spam tek seferlik müdahale ile çözülmez. Kalıcı önlemler alınmalıdır.
SPF kayıtları doğru yapılandırılmalıdır. DKIM ve DMARC aktif olmalıdır. SMTP Auth için rate limit uygulanmalıdır. Fail2Ban ile brute-force denemeleri engellenmelidir.
Web uygulamaları güncel tutulmalıdır. PHP mail kullanımı sınırlandırılmalıdır. Günlük outbound mail limitleri tanımlanmalıdır.