Vcera som dostal telefonat od zakaznika, ze sa mu vratili vsetky emaily, ktore posielal s chybovymi hlaskami. Na moje prekvapenie som zistil, ze som na blackliste roznych serverov.
Pri kontrole posty sa dalej ukazalo, ze uz par dni server odosiela vacsie mnozstvo sprav. Ale ako, ked nemam open relay server? A tak som zacal patrat. "Vinnikom" je chudiatko vevericka(webamil), do ktoreho sa dotycny nalogoval cez roota (zaujimave, root totizto nema ziadne heslo a ma zakaz sa prihlasovat remotne, mam len userov v grupe root).
No a tu si zhrniem co som zistil.
1. Utocnik vytvoril v mysql usera bez mena a hesla, ktory sa mohol prihlasit odkialkolvek (naco to je mi trosku zahadne)
2. Courier-imap zrazu zacal overovat hesla cez mysql modul.

Apr 18 11:48:18 n4all pop3d: authdaemon: starting client module
Apr 18 11:48:18 n4all authdaemond.mysql: received auth request, service=pop3, authtype=login
Apr 18 11:48:18 n4all authdaemond.mysql: authshadow: trying this module

authmodulelist="authshadow authpwd"

root 5341 5337 0 2011 ? 00:00:04 saslauthd -a shadow
root 30840 1 0 10:56 ? 00:00:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon/pid -start /usr/libexec/authlib/authdaemond.mysql
root 30841 30840 0 10:56 ? 00:00:00 /usr/libexec/authlib/authdaemond.mysql