Quando o load tiver alto e você dar o comando “top” e ver muitos processos do exim, é bem provável que seja spam. Digite o comando:
tail -f /var/log/exim_mainlog
este comando irá lhe mostrar os logs do servidor de e-mail que estão sendo gerado naquele momento. Você provavelmente verá algo assim crescendo rapidamente:
2005-12-01 12:43:30 1Ehpej-0007MK-Kl User 0 set for local_delivery transport is on the never_users list
2005-12-01 12:43:30 1Ehpej-0007MK-Kl == root@hostname.seuservidor.com <nobody@hostname.seuservidor.com> R=localuser T=local_delivery defer (-29): User 0 set for local_delivery transport is on the never_users list
2005-12-01 12:43:30 1Ehpej-0007MK-Kl ** root@hostname.seuservidor.com <nobody@hostname.seuservidor.com>: retry timeout exceeded
2005-12-01 12:43:30 1Ehpej-0007MK-Kl root@hostname.seuservidor.com <nobody@hostname.seuservidor.com>: error ignored
2005-12-01 12:43:30 1Ehpej-0007MK-Kl Completed
Até aí, com a configuração padrão do exim, fica dificil identificar o spammer.
Você deve alterar o modo que o exim grava estas informações no log, para isto, acesse o arquivo /etc/exim.conf e adicione a seguinte linha:
log_selector = +address_rewrite +all_parents +arguments +connection_reject +delay_delivery +delivery_size +dnslist_defer +incoming_interface +incoming_port +lost_incoming_connection +queue_run +received_sender +received_recipients +retry_defer +sender_on_delivery +size_reject +skip_delivery +smtp_confirmation +smtp_connection +smtp_protocol_error +smtp_syntax_error +subject +tls_cipher +tls_peerdn
salve o arquivo, reinicie o exim e vá novamente em:
tail -f /var/log/exim_mainlog
O que você verá provavelmente é algo parecido ao log abaixo:
2005-12-01 12:43:30 1Ehpek-0007Ml-57 == root@hostname.seuservidor.com <nobody@hostname.seuservidor.com> R=localuser T=local_delivery defer$
2005-12-01 12:43:30 1Ehpek-0007Ml-57 ** root@hostname.seuservidor.com <nobody@hostname.seuservidor.com>: retry timeout exceeded
2005-12-01 12:43:30 cwd=/home/usuario/public_html/scriptmailicioso 3 args: /usr/sbin/sendmail -t -i
2005-12-01 12:43:30 1Ehpek-0007Ml-57 root@hostname.seuservidor.com <nobody@hostname.seuservidor.com>: error ignored
Note que em “cwd=/home/usuario/public_html/scriptmailicioso” está dizendo qual script está gerando o e-mail. Daí é apagar o script malicioso, suspender o usuário e o problema está resolvido.
É bem possível que a sua fila de e-mails esteja lotada de spam que estão congelados por lá, é interessante apagar para que as mensagens que já estão lá não sejam enviadas. É claro que deverm ter outros meios, principalmente executando comandos do exim que não tenho na cabeça no momento, mas se a fila for muito grande, apague na unha “rm -rf /var/spool/exim/input”
http://www.forumcpanel.com.br/topic/434-dica-para-identificar-spam/