Welches PHP Script sendet Spam über Ihren Mailserver

Ein Server der massenhaft Spam versendet ist nicht immer direkt kompromittiert. Oft wird Spam über ein nicht mehr aktuelles Script oder ein komplett ungesichertes Formular versendet.

Gerade als Reseller hat man keine Kontrolle darüber, welche PHP-Anwendungen in welcher Version von den Kunden installiert werden. Die Wenigsten achten auf regelmäßige Aktualisierungen der Eigenen Anwendungen.

Die Domain bekommt man oft noch identifiziert, doch wie bekommt man das Script, welches Spam generiert?

Mit PHP 5.3 wurde eine sehr gute Möglichkeit eingeführt, durch PHP generierte Mails zu identifizieren.

Die Konfiguration für die E-Mailgeneration in PHP 5.3: http://php.net/manual/en/mail.configuration.php

Zusätzliche Header Informationen über das Script

Sobald die folgende Zeile in die php.ini aufgenommen wird, enthält jede Mail zusätzliche Header Informationen. Diese werden auch im MailEnbale in den Logfiles angezeigt.

Dies kann dazu führen, mehr über die eigene Konfiguration preis zu geben als man möchte, hilft aber bei der Identifizierung.

Diese Einstellung generiert die folgende Header Information:

Die 25 im Beispiel ist die UID und darauf folgt das Script, welches die Mail generiert hat.

Ausführliche Mailinformationen protokollieren

Als weitere Hilfe kann man eine Protokolldatei schreiben lassen. Diese enthält Informationen über das Modul, welches die Mail generiert, den Empfänger, den MIME Type, den Content-Type und den Absender jeder Mail. Dies wird mit dem folgenden Eintrag in der php.ini aktiviert:

Allerdings muss hierzu PHP auch mindestens die Version 5.3 aufweisen.