Heute habe ich eine Benachrichtigung von einem meiner Server bekommen, dass mein „Warn“ Threshold in der mailq erreicht wurde. Da ich so gut wie kein Mail Verkehr über meine Server leite, war ich etwas verwundert.

Ein Blick in die Mailq zeigt mir 500 „outstanding Mails“, der Absender war immer www-data. Was bedeutet das? Ein Skript auf meinem Server ist unsicher, oder ein Skript wurde eingeschleust um Mails zu senden.

Zunächst habe ich einmal die Queue komplett geleert:

 postsuper -d ALL

Anschließen habe ich etwas gewartet, bis wieder neue Mails in der Queue waren. Eine dieser Mails habe ich dann mit folgendem Befehl angeschaut:

 postcat -q BD63E29200F2

Hier konnte ich den Absender der Email identifizieren, und somit das Web des versendenden Benutzers überprüfen.