Сайт рассылает спам: почему это происходит и как быстро остановить

Когда сайт рассылает спам, действовать нужно быстро: хостинг может отключить почту, домен потеряет репутацию, а реальные заявки перестанут доходить. При этом виновником не всегда является форма обратной связи — отправка может идти из скрытого файла или скомпрометированного SMTP.

Коротко: важно найти канал отправки, остановить рассылку и проверить, не связан ли спам с заражением сайта.

Когда это становится заметно

• появились жалобы на письма, которые вы не отправляли
• в логах много исходящих писем на чужие адреса
• почтовый сервис ограничил отправку
• хостинг временно заблокировал функцию mail
• после чистки очередь писем снова растет

Почему так происходит

Рассылка спама может быть самостоятельной проблемой формы, а может быть частью заражения сайта. Поэтому нужно смотреть и почтовый канал, и файловую систему, и CMS.

• боты используют форму без ограничений
• PHP-скрипт отправляет письма через стандартную mail-функцию
• SMTP-логин утек или используется в старом проекте
• в CMS установлен уязвимый модуль
• на сайте есть скрытый файл для массовой отправки

Что я проверяю в первую очередь

• mail log, очередь писем и лимиты отправки
• формы, обработчики и параметры получателей
• подключенные SMTP-аккаунты
• свежие и неизвестные файлы на сайте
• DNS-записи SPF, DKIM и DMARC

Как привожу сайт в порядок

Сначала ограничиваю вредную активность, затем ищу первопричину и возвращаю нормальную работу почты.

• определяю, откуда именно уходят письма
• блокирую массовую отправку без отключения всего сайта
• чищу или удаляю вредоносные отправители
• настраиваю защиту форм и корректную SMTP-отправку
• проверяю репутацию домена и базовые DNS-записи

Что подготовить перед обращением

• пример письма или уведомления от хостинга
• доступ к серверу, панели или почтовому сервису
• список форм, которые должны отправлять заявки
• дату, когда началась массовая отправка

Сроки и результат

Активную рассылку обычно можно остановить быстро. Полная проверка и восстановление почтовой репутации зависят от масштаба отправки и настроек домена.

Вопрос-ответ

Это всегда взлом?

Не всегда. Иногда достаточно плохо защищенной формы. Но проверка файлов и логов все равно нужна.

Можно ли вернуть доставку писем?

Да, если устранить источник, настроить DNS-записи и убрать домен из проблемных списков при необходимости.

Вы будете рассылать письма для проверки?

Нет. Проверка идет по логам, настройкам и безопасным тестам отправки на контролируемые адреса.

Нужна похожая задача?

Напишите в Telegram @rabotator_support: пришлите адрес сайта, что именно видит пользователь и когда началась проблема. Я посмотрю ситуацию, объясню план работ и скажу срок до старта.