私が契約するVPSの管理アドレス充てに大量の [ Returned mail: see transcript for details ] というメールが届きました。内容を見ると、私のドメインを送信元にした大量のスパムメールを私が管理するサーバが発信しているようです。もちろん私が迷惑メールを送信している訳ではありません。

cd /var/spool/mqueue
ls -la

とすると100以上のメールがキューに溜まっています。どうやら受信元のサーバが私のサーバからのメール受信を拒否しているためにそのようなことになっているようです。

このままだと私のサーバがブラックリストに登録されてしまいそうで困っています。どうしたらよいでしょうか?
迷惑メールの踏み台にされてしまっている(現在「踏み台」になっている)可能性が高いです。



mqueueに溜まっているメールをcat コマンドで確認してください。ヘッダ部分に着目します

例えば次のようになっていたとします。

Full-Name: Apache
Received: (from apache@localhost)
by ns.hoge.co.jp (8.14.7/8.14.7/Submit) id v7NLIe0g001200;
To: filger77@hoge.it
Subject: Vorrei provare il sesso nella presenza del mio marito!
X-PHP-Originating-Script: 48:boqwctld.php(1189) : runtime-created function(1) : eval()’d code(1) : eval()’d code
Date: Thu, 24 Aug 2017 06:18:40 +0900
From: “Carmelina R.” <carmelina.r@hoge.co.jp>
Message-ID: <f48ca10f970944c72e21d183e72317d3@oge.co.jp>
X-Mailer: PHPMailer 5.2.23 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”b1_f48ca10f970944c72e21d183e72317d3″
Content-Transfer-Encoding: 8bit
X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-4.4.3 (hoge.co.jp [127.0.0.1]); Thu, 24 Aug 2017
X-Virus-Scanned: clamav-milter 0.99.2 at ns.hone.co.jp
X-Virus-Status: Clean

ここで PHP-Originating-Script に着目します。ここにある boqwctld.php が不正に仕込まれたスパムメール送信用のプログラムの可能性が高いといえます。

find -name boqwctld.php

として [ boqwctld.php ] の位置を特定し、削除してください。

なお、ワードプレスなどのCMSソフトウェアをお使いの場合、使用しているwordpressやテーマ、プラグインのバージョンが古いと、脆弱性をつかれて不正なスクリプトを仕込まれ、結果として踏み台となっている可能性がありますので、豆にアップデートなさってください。