Exim подобрали пароль к аккаунту, помогите найти.

[allan_sundry]

Доброе время суток!

Есть подозрение что был подобран пароль для отправки СПАМа через почтовый сервер.
В очереди появились письма вида:

Код: Выделить всё

# exim -Mvh 1WF9tq-0002Xf-QS
1WF9tq-0002Xf-QS-H
mailnull 26 6
<egelfshz@iainwest.net>
1392588562 0
-helo_name Unknown
-host_address 190.209.105.220.2316
-host_auth auth_cram_md5
-interface_address ХХХ.187.108.7.25
-received_protocol esmtpa
-body_linecount 62
-max_received_linelength 76
-auth_id
-host_lookup_failed
XX
1
a.musin@scflines.com

235P Received: from [190.209.105.220] (port=2316 helo=Unknown)
	by mx.domain.net with esmtpa (Exim 4.82 (FreeBSD))
	(envelope-from <egelfshz@iainwest.net>)
	id 1WF9tq-0002Xf-QS
	for a.musin@scflines.com; Mon, 17 Feb 2014 00:09:25 +0200
028F From: egelfshz@iainwest.net
032R Reply-To: egelfshz@iainwest.net
122  Subject: =?windows-1251?B?dzrO8Ojj6O3g6/zt++kgx+Xr5e376SDq7vTl?=
	=?windows-1251?B?IPEg6Ozh6PDl7CAtIO/u9fPk5ekg6+Xj6u4h?=
027T To: <a.musin@scflines.com>
035* Return-Path: egelfshz@iainwest.net
018  MIME-Version: 1.0
091  Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_017E_01CF2B20.A8F52660"
085  X-Virus-Scanned: mx.domain.net 1WF9tq-0002Xf-QS 4408b0decb4bd1c5a1ff84c0ce6d93c7

Отправка с 190.209.105.220 возможна только в случае авторизации на сервере.

В логах не хватает информации какой учеткой воспользовались для отправки:

Код: Выделить всё

# cat /var/log/exim/mainlog | grep 1WF9tq-0002Xf-QS
2014-02-17 00:09:25 [9775] 1WF9tq-0002Xf-QS <= egelfshz@iainwest.net H=(Unknown) [190.209.105.220]:2316 I=[ХХХ.187.108.7]:25 P=esmtpa A=auth_cram_md5: S=3541 M8S=0 T="w:\316\360\350\343\350\355\340\353\374\355\373\351 \307\345\353\345\355\373\351 \352\356\364\345 \361 \350\354\341\350\360\345\354 - \357\356\365\363\344\345\351 \353\345\343\352\356!" from <egelfshz@iainwest.net> for a.musin@scflines.com
2014-02-17 00:09:25 [9779] cwd=/var/spool/exim 3 args: /usr/local/sbin/exim -Mc 1WF9tq-0002Xf-QS

Как найти к какой учетной записи подобран пароль?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[allan_sundry]

Разобрался с вопросом:
добавляем в конфиг

Код: Выделить всё

remote_smtp:
  driver = smtp
### ADD FOR DETAILED CRAM-MD5 AUTHENTIFICATION
  headers_add = "X-Authenticated-Sender: ${authenticated_id}\n"
###

при этом в секции аутентификации:

Код: Выделить всё

auth_cram_md5:
  driver = cram_md5
  public_name = CRAM-MD5
  server_secret = ${lookup mysql{SELECT `password` FROM \
                        `mailbox` WHERE `username` \
                        = '${quote_mysql:$auth1}'}{$value}fail}
  server_set_id = $auth1

вуаля:

Код: Выделить всё

2014-02-18 16:08:08 [31728] 1WFlLE-0008Fk-Ml <= dewhjdeiuw@qwhu.net H=(host.local) [YYY.ZZZ.130.244]:49234 I=[XXX.187.108.9]:587 P=esmtpa A=auth_cram_md5:user@domen.net S=738 M8S=0 id=53036948.2070900@domen.net T="subject" from <dewhjdeiuw@qwhu.net> for werty@dwq.net
2014-02-18 16:08:08 [31728] SMTP connection from (host.local) [YYY.ZZZ.130.244]:49234 I=[XXX.187.108.9]:587 closed by QUIT
2014-02-18 16:08:08 [31729] cwd=/var/spool/exim 3 args: /usr/local/sbin/exim -Mc 1WFlLE-0008Fk-Ml

сразу можно понять как авторизировался пользователь.

Надеюсь кому-то поможет!