Şimdi yükleniyor
İpuçları , , , , , , , , , ,

Spam Mail Gönderen cPanel Hesabını Tespit Etme

Spam Mail Gönderen cPanel Hesabını Tespit Etme

Paylaşımlı hosting sunucularında en sık karşılaşılan ve sunucu yöneticileri için ciddi baş ağrısı yaratan problemlerden biri, bir kullanıcının hesabından izinsiz veya kötü niyetli bir şekilde spam mail gönderilmesidir. Bu durum sadece ilgili kullanıcının değil, tüm sunucunun itibarını ve hizmet kalitesini olumsuz etkiler. Sunucu IP adresinin çeşitli kara listelere (RBL – Real-time Blackhole List) düşmesine, diğer müşterilerin gönderdiği e-postaların spam klasörlerine yönlendirilmesine ve genel olarak marka itibarının zedelenmesine yol açar. Bu nedenle, bir sunucu yöneticisi olarak cPanel/WHM (Web Host Manager) üzerinde spam mail gönderen hesabı hızlı ve etkili bir şekilde tespit etme becerisine sahip olmak hayati öneme sahiptir. Bu kapsamlı rehberde, cPanel ve WHM kullanan bir sunucuda spam mail gönderen hesabı adım adım nasıl tespit edeceğinizi, detaylı log analizlerini ve alınması gereken önlemleri aktaracağız.

İlk Adım: Sorunun Varlığını Doğrulama ve Belirtileri Anlama

Herhangi bir müdahaleye başlamadan önce, gerçekten bir spam aktivitesi olup olmadığını netleştirmek gerekir. Spam gönderimi genellikle belirli belirtilerle kendini gösterir. Bu belirtileri erken fark etmek, sorunun büyümesini engellemek için kritik öneme sahiptir:

  • Müşteri Şikayetleri: En yaygın belirtilerden biri, müşterilerin “Maillerim gitmiyor”, “Maillerim geri dönüyor” veya “Maillerim spam klasörüne düşüyor” şeklinde şikayetleridir. Bu şikayetler, IP adresinizin kara listeye girdiğinin veya mail sunucunuzun itibarının zedelendiğinin ilk işaretleri olabilir.
  • Mail Kuyruğunun Anormal Şekilde Dolması: WHM panelinizdeki mail kuyruğunun (Mail Queue) aniden ve anormal bir şekilde dolduğunu fark edersiniz. Normalde belirli bir düzeyde seyreden kuyruk, binlerce veya on binlerce bekleyen mail ile karşılaşmanız durumunda ciddi bir problem olduğunu gösterir.
  • WHM – Mail Delivery Reports Ekranında Hata Oranlarının Artması: WHM arayüzünde bulunan mail teslimat raporları bölümü, gönderilen maillerin başarı ve hata oranlarını gösterir. Eğer burada teslim edilemeyen veya reddedilen mail oranlarında ani bir artış görüyorsanız, bu da spam aktivitesine işaret edebilir.
  • IP Adresinin RBL (Real-time Blackhole List) Listelerine Düşmesi: Spamhaus, Barracuda, Spamcop gibi uluslararası kara liste kuruluşları, spam gönderen IP adreslerini listeler. Sunucunuzun IP adresi bu listelerden birine düşerse, gönderdiğiniz tüm mailler otomatik olarak spam olarak işaretlenir veya reddedilir. Bu durumu düzenli olarak mxtoolbox.com gibi araçlarla kontrol etmek önemlidir.

İlk kontrol ve doğrulama genellikle WHM üzerinden, sunucunun genel mail trafiğini ve kuyruk durumunu gözlemleyerek yapılır.

WHM Üzerinden Mail Kuyruğunu (Mail Queue) Kontrol Etme

WHM paneli, sunucu yöneticileri için güçlü bir araçtır ve spam tespiti için ilk başvurulacak yerlerden biridir. Spam aktivitesini kontrol etmek için aşağıdaki adımları izleyin:

  1. WHM paneline root yetkileriyle giriş yapın: https://sunucuip:2087
  2. Sol menüde bulunan arama kutucuğuna “Mail Queue Manager” yazın veya şu yolu izleyin: Email → Mail Queue Manager.

Bu ekranda, sunucunuzdaki aktif mail kuyruğunu detaylı bir şekilde göreceksiniz. Burada bekleyen maillerin gönderici adresleri (From), alıcı adresleri (To), konu (Subject) bilgileri ve gönderim tarihleri listelenir. Bu bilgiler, spam kaynağını tespit etmek için önemli ipuçları sunar.

Mail Kuyruğunda Nelere Dikkat Edilmeli?

  • Garip ve Anlamsız Gönderici Adresleri: [email protected] gibi standart adresler yerine, anlamsız karakter dizilerinden oluşan veya rastgele oluşturulmuş görünen gönderici adresleri şüphelidir.
  • Aşırı Sayıda Mail Gönderen Tek Bir Hesap: Belirli bir cPanel hesabına ait bir mail adresinin, normalin çok üzerinde, kısa süre içinde binlerce mail göndermeye çalıştığını fark ederseniz, bu büyük olasılıkla spam kaynağıdır.
  • Çok Kısa Aralıklarla Yoğun Mail Trafiği: Birkaç saniye içinde yüzlerce veya binlerce mailin kuyruğa eklendiğini görmek, otomatik bir script veya bot tarafından spam gönderildiğinin güçlü bir göstergesidir.
  • Belirli Bir Domain İçin Yoğun Spam Trafiği: Kuyrukta bekleyen maillerin büyük çoğunluğunun belirli bir domainden geldiğini veya belirli bir domaine gönderildiğini görürseniz, o domaini daha yakından incelemeniz gerekir.

Mail Queue Manager, genellikle hangi cPanel hesabının spam gönderdiğine dair ilk ve en güçlü ipucunu sağlar. Şüpheli görünen mail adreslerinin ait olduğu domainleri not alın.

Top Mail Relayers (En Çok Mail Gönderen Hesaplar)

WHM’de spam tespiti için kullanabileceğiniz bir diğer etkili ekran “Mail Relayers” veya “View Mail Statistics” bölümüdür. Bu özellik, hangi cPanel hesabının belirli bir zaman diliminde ne kadar mail gönderdiğini özetler:

  1. WHM paneline giriş yapın.
  2. Sol menüden Email → Mail Statistics / View Relayers yolunu izleyin (WHM sürümüne göre “View Mail Statistics” veya “Mail Relayers” olarak da geçebilir).

Bu bölümde, belirli bir zaman diliminde (örneğin son 1 saat, son 24 saat) en çok mail gönderen cPanel hesaplarını ve bu hesapların hangi kullanıcı adları altında mail gönderdiğini görebilirsiniz. Eğer bir kullanıcının aniden normalin çok üzerinde (örneğin binlerce) mail gönderdiğini görürseniz, bu hesap büyük ihtimalle spam kaynağıdır ve detaylı incelemeyi gerektirir.

Exim Log Dosyaları ile Derin Analiz

WHM arayüzleri ilk tespiti sağlarken, sorunun kökenine inmek ve tam olarak hangi scriptin veya uygulamanın spam gönderdiğini anlamak için Exim mail sunucusunun log dosyalarını incelemek gerekir. Bu, daha teknik bir adımdır ve SSH bağlantısı gerektirir.

  1. SSH ile sunucuya root olarak bağlanın: ssh root@sunucu-ip
  2. Exim ana log dosyaları genellikle /var/log/exim_mainlog, /var/log/exim_rejectlog ve /var/log/exim_paniclog dizinlerinde bulunur. Spam tespiti için en çok exim_mainlog kullanılır.

Exim Log Analizi İçin Temel Komutlar

Log dosyaları çok büyük olabileceğinden, belirli kriterlere göre filtreleme yapmak önemlidir:

Belirli bir alan adı için arama:

grep "domain.com" /var/log/exim_mainlog | tail -n 50

Bu komut, domain.com kelimesini içeren son 50 log kaydını gösterir. Böylece belirli bir domainin mail trafiğini izleyebilirsiniz.

Belirli bir gönderen adresini inceleme:

grep "[email protected]" /var/log/exim_mainlog | less

Bu komut, belirli bir e-posta adresinden gönderilen tüm mailleri listeler ve `less` komutu ile sayfalar halinde görüntülemenizi sağlar.

PHP script kaynaklı gönderimler:

Spam gönderimlerinin büyük bir kısmı, hacklenmiş web sitelerindeki PHP scriptleri aracılığıyla yapılır. Loglardaki cwd= (current working directory) satırları, mailin hangi klasörden gönderildiğini gösterir:

grep "cwd=" /var/log/exim_mainlog | grep "public_html" | tail -n 100

Bu komut, `public_html` dizini içinde bir script tarafından gönderilen son 100 mail kaydını listeler. Bu çıktıdaki path’ler, hangi web sitesinin veya scriptin spam gönderdiğini anlamanızı sağlar. Örneğin:

cwd=/home/kullaniciadi/public_html/wp-content/themes/tema-adi/includes/script.php

gibi bir satır, `kullaniciadi` cPanel hesabına ait `public_html` dizinindeki bir WordPress temasının hacklenmiş `script.php` dosyası üzerinden spam gönderildiği anlamına gelir.

Aşağıdaki tablo, Exim loglarında sıkça aranan anahtar kelimeleri ve bunların potansiyel anlamlarını özetlemektedir:

Anahtar KelimeAçıklamaÖrnek KullanımPotansiyel Anlam
cwd=Maili gönderen scriptin çalıştığı dizin.grep "cwd=" /var/log/exim_mainlogPHP script kaynaklı spam tespiti.
sender_host_addressMaili gönderen IP adresi.grep "sender_host_address=" /var/log/exim_mainlogHarici bir kaynaktan gelen spam.
spam scoreSpamAssassin tarafından atanan spam puanı.grep "spam score" /var/log/exim_mainlogGelen/giden maillerin spam potansiyeli.
R=Yönlendirme (routing) bilgisi.grep "R=" /var/log/exim_mainlogMailin nasıl yönlendirildiği.
H=Gönderici host bilgisi.grep "H=" /var/log/exim_mainlogBağlantı kuran host hakkında bilgi.

cPanel Kullanıcısını Tespit Etme

Exim loglarında `cwd=` ile başlayan dizin yapısını incelediğinizde, genellikle `/home/KULLANICIADI/public_html/…` şeklinde bir yol görürsünüz. Buradaki KULLANICIADI, spam gönderen cPanel hesabının kullanıcı adıdır. Bu bilgiye ulaştığınızda, spamın kaynağını net bir şekilde belirlemiş olursunuz.

Ayrıca, WHM -> List Accounts ekranından bu kullanıcı adına ait tüm bilgilere (domainler, disk kullanımı, e-posta hesapları vb.) erişebilir ve daha detaylı incelemeler yapabilirsiniz.

cPanel Hesabı Üzerinde Kontrol Edilmesi Gerekenler

Spam gönderen hesabı tespit ettikten sonra, sorunun temel nedenini bulmak ve kalıcı çözümler üretmek için ilgili cPanel hesabında kapsamlı bir kontrol yapmalısınız:

1. E-posta Hesapları

  • Zayıf Şifreler: Kullanıcıların e-posta hesaplarının zayıf şifrelerle korunması, bu hesapların kolayca hacklenmesine ve spam gönderimi için kullanılmasına neden olabilir. Tüm mail şifrelerini güçlü, karmaşık şifrelerle güncelleyin ve kullanıcıları da güçlü şifre kullanmaya teşvik edin.
  • Şüpheli Mail Adresleri: Hesapta sizin veya kullanıcının bilgisi dışında oluşturulmuş şüpheli mail adresleri olup olmadığını kontrol edin.

2. Web Formlar (PHP Mail, Contact Form vb.)

  • Web sitelerindeki iletişim formları, yorum formları veya diğer veri giriş formları bot koruması (reCAPTCHA gibi) içermiyorsa, botlar tarafından kolayca kötüye kullanılabilir ve spam gönderimi için bir araç haline gelebilir. Tüm formlara reCAPTCHA veya benzeri bot koruma mekanizmaları ekleyin.

3. CMS Güvenliği (WordPress, Joomla, OpenCart vb.)

CMS tabanlı web siteleri, en sık hacklenen ve spam gönderimi için kullanılan platformlardır:

  • Güncel Olmayan Yazılımlar: WordPress çekirdeği, kullanılan tema ve eklentilerin güncel olmaması ciddi güvenlik açıkları barındırabilir. Tüm bileşenleri en son sürümlerine güncelleyin.
  • Zararlı Dosya Taraması: ImunifyAV, Maldet (Linux Malware Detect) gibi güvenlik araçları kullanarak web sitesi dosyalarında zararlı kod veya backdoor olup olmadığını tarayın. Tespit edilen zararlı dosyaları temizleyin veya karantinaya alın.
  • İzinler: Dosya ve klasör izinlerinin doğru ayarlandığından emin olun (genellikle dosyalar için 644, klasörler için 755).

4. Cron Job’lar

  • cPanel’deki “Cron Jobs” bölümünü kontrol edin. Kötü niyetli kişiler, hackledikleri hesaplara periyodik olarak çalışan spam gönderen scriptler ekleyebilirler. Şüpheli veya tanımadığınız cron görevlerini devre dışı bırakın veya silin.

Spam Atan Hesaba Geçici Olarak Kısıtlama Getirme

Spam yayılımını durdurmak ve sunucunuzun itibarını daha fazla zarar görmesini engellemek için, spam gönderen hesaba geçici olarak kısıtlamalar getirebilirsiniz:

  • SMTP Gönderimini Sınırlandırma: WHM -> Account Functions -> Limit SMTP özelliği ile belirli bir hesabın SMTP üzerinden mail göndermesini kısıtlayabilirsiniz.
  • Hesabı Geçici Olarak Askıya Alma (Suspend): WHM -> Account Functions -> Manage Account Suspension üzerinden hesabı geçici olarak askıya alarak tüm hizmetlerini durdurabilirsiniz. Bu, sorunu çözerken size zaman kazandırır.
  • Mail Limiti Koyma: WHM -> Tweak Settings bölümündeki “Max hourly emails per domain” (Alan adı başına saatlik maksimum e-posta sayısı) ayarını düşürerek, bir domainden saatte gönderilebilecek mail sayısını sınırlayabilirsiniz.

Uzun Vadeli Çözümler ve Önleyici Tedbirler

Benzer sorunların tekrar yaşanmaması için sunucu genelinde ve müşteri hesaplarında uzun vadeli güvenlik önlemleri almak kritik öneme sahiptir:

  • Gelişmiş Güvenlik Araçları Kullanımı: Sunucunuzda Imunify360 / ImunifyAV (malware tarama ve koruma), CXS (ConfigServer eXploit Scanner) gibi profesyonel güvenlik araçları kullanarak zararlı yazılımları ve açıklıkları proaktif olarak tespit edin ve engelleyin.
  • CSF + LFD ile Brute Force Koruması: ConfigServer Security & Firewall (CSF) ve Login Failure Daemon (LFD) kullanarak brute force saldırılarını, şüpheli giriş denemelerini ve ağ tabanlı tehditleri engelleyin.
  • PHP Mail() Fonksiyonunu Sınırlama: PHP mail() fonksiyonunun doğrudan kullanımını kısıtlayarak, scriptlerin yalnızca kimlik doğrulamalı SMTP üzerinden mail göndermeye zorlanmasını sağlayın. Bu, zararlı scriptlerin direkt mail göndermesini engeller.
  • SPF, DKIM, DMARC Kayıtları: Her domain için SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) kayıtlarını doğru bir şekilde ayarlayın. Bu kayıtlar, e-postaların kimliğini doğrular ve sahteciliği önleyerek sunucunuzun mail itibarını korur.
  • Güçlü Şifre Politikası: Müşterilerinizi ve kendi hesaplarınızda güçlü, karmaşık şifreler kullanmaya zorlayan bir politika uygulayın. Düzenli şifre değişikliklerini teşvik edin ve kolay tahmin edilebilir şifreleri engelleyin.
  • Düzenli Yedeklemeler: Olası bir hacklenme veya veri kaybı durumunda hızlıca geri dönebilmek için tüm müşteri hesaplarının ve sunucu verilerinin düzenli yedeklerini alın.

Spam mail gönderen cPanel hesabını tespit etme ve bu sorunu giderme süreci, sunucu yöneticiliğinin en temel ve önemli görevlerinden biridir. WHM’deki Mail Queue ve Mail Relayers ekranlarını dikkatle inceleyerek, Exim logları üzerinden detaylı analizler yaparak ve özellikle cwd satırlarını ve gönderici adreslerini takip ederek, spam kaynağı olan cPanel hesabını hızla tespit edebilir ve gerekli önlemleri alabilirsiniz. Unutmayın, sunucunuzun ve IP adresinizin itibarını korumanın en etkili yolu, spam gönderen hesapları hızlıca belirleyip izole etmek ve uzun vadeli güvenlik çözümleriyle sisteminizi güçlendirmektir. Bu proaktif yaklaşım, hem sizin hem de müşterilerinizin dijital güvenliğini sağlamak için hayati önem taşır.

Etiket

Related Posts

You May Have Missed