Mailserver blacklisted door een trojan mail - Linux en overige clients

zaterdag 3 december 2011 18:23

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Sinds 29 november heb ik het probleem dat mijn mailserver in de CBL is te komen staan. Dit betekent meteen dat de mailproviders zoals gmail, hotmail en yahoo etc dat zij alle mail vanaf mijn mailserver blokkeren.

Nou ging ik mijn domeinnaam controleren op spamhaus en het bleek dat ik sinds kort op de CBL sta met de volgende reden:

IP Address 95.211.77.108 is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.

It was last detected at 2011-11-29 16:00 GMT (+/- 30 minutes), approximately 4 days, 1 hours, 30 minutes ago.

Nu kan het wel kloppen dat er ooit een trojan gestuurd is duur een van mijn klanten die geïnfecteerd is met een virus of iets anders, maar het kan toch niet dat mijn hele mailserver dan meteen in de blacklist komt te staan?
Mijn server heeft de volgende specs:

domein: orhun.nl
CENTOS 5.5
Postfix
Amavisd
Clamd
Spamassasin
Dovecot
Roundcubemail
Apache, php, mysql

Mijn server staat in de datacenter bij Leaseweb dus het is niet thuis hosted.
Ik heb net even nogmaals een open-relay test gedaan en daar zie ik ook geen problemen.

Wat moet ik nu doen?
Als ik een mail naar mijn hotmail adres stuur krijg ik de volgende bounce:

This is the mail system at host mail.orhun.nl.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

<gokhan_orhun@hotmail.com>: host mx1.hotmail.com[65.54.188.126] said: 550
OU-001 (BAY0-MC4-F27) Unfortunately, messages from 95.211.77.108 weren't
sent. Please contact your Internet service provider since part of their
network is on our block list. You can also refer your provider to
http://mail.live.com/mail/troubleshooting.aspx#errors. (in reply to MAIL
FROM command)

ik krijg tevens ook heel veel bounces van yahoo en gmail. Dit komt omdat ze gebruik maken van spamhaus blacklists.

Wie o wie kan mij helpen? Dit is mijn eigen server, ik heb geen bedrijf ofzo en er zitten op dit moment 4 domeinnamen erop waar 2 actief gebruikt worden waaronder ik. Het kan misschien een configuratie iets zijn van postfix maar ik weet geen raad.
Google begon over SPF records. Deze heb ik aangemaakt en zien alsvolgt eruit:

spf TXT "v=spf1 include:_spf.google.com ~all"
orhun.nl SPF "v=spf1 mx ptr ip4:95.211.77.108 mx:mail.orhun.nl ~all"

Bovenste was een voorbeeld van google. Daar moest het zo.
Onderste had ik van microsoft

zaterdag 3 december 2011 18:56

Acties:

0 Henk 'm!

deadinspace

The what goes where now?

com2,1ghz schreef op zaterdag 03 december 2011 @ 18:23:
Nu kan het wel kloppen dat er ooit een trojan gestuurd is duur een van mijn klanten die geïnfecteerd is met een virus of iets anders, maar het kan toch niet dat mijn hele mailserver dan meteen in de blacklist komt te staan?

Dat kan wel, welkom in de hel die blacklists heet.

Volgensmij moet je contact opnemen met de beheerder van de blacklist en hen overtuigen dat je het probleem opgelost hebt zodat ze je uit hun blacklist verwijderen. Aanwijzingen daarvoor staan als het goed is op de website van de blacklist.

Overigens kom je volgens mij meestal pas op zo'n blacklist als je spam of een trojan verstuurt naar een van de "honeypot" addressen van zo'n blacklist. Als dat het geval is, dan is er waarschijnlijk wel meer dan één trojan verstuurd vanaf je server. Maar misschien zit ik er naast.

code:
1
spf TXT "v=spf1 include:_spf.google.com ~all"
Bovenste was een voorbeeld van google. Daar moest het zo.

Ehm, dat voorbeeld is voor als je Google apps gebruikt voor je mail. Doe je dat?

Verder vraag ik me een beetje af wat dit met NOS te maken heeft, dit topic lijkt me meer op zijn plek in een van de netwerkfora.

zaterdag 3 december 2011 19:19

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

deadinspace schreef op zaterdag 03 december 2011 @ 18:56:
[...]

Dat kan wel, welkom in de hel die blacklists heet.

Volgensmij moet je contact opnemen met de beheerder van de blacklist en hen overtuigen dat je het probleem opgelost hebt zodat ze je uit hun blacklist verwijderen. Aanwijzingen daarvoor staan als het goed is op de website van de blacklist.

Overigens kom je volgens mij meestal pas op zo'n blacklist als je spam of een trojan verstuurt naar een van de "honeypot" addressen van zo'n blacklist. Als dat het geval is, dan is er waarschijnlijk wel meer dan één trojan verstuurd vanaf je server. Maar misschien zit ik er naast.

[...]

Ehm, dat voorbeeld is voor als je Google apps gebruikt voor je mail. Doe je dat?

Verder vraag ik me een beetje af wat dit met NOS te maken heeft, dit topic lijkt me meer op zijn plek in een van de netwerkfora.

Nou ik maak geen gebruik van Google apps maar het was meer een poging om het probleem op te lossen.

Op de site van CBL waar ik die check kon doen of mijn server ip was blacklisted, kon ik hem weer delisten. Er stond een hele lijst met maatregelen die genomen moesten worden zoals het installeren van een virusscanner. Ik maak gebruik van clamAV en spamassasin. De virusdefinities zijn up to date.

Hoe gaat een normale webhostingbedrijf hiermee om?

Verder vraag ik me een beetje af wat dit met NOS te maken heeft, dit topic lijkt me meer op zijn plek in een van de netwerkfora.

CentOS, Postfix, is non windows en heeft vrij weinig met netwerk te maken denk ik

[ Voor 7% gewijzigd door com2,1ghz op 03-12-2011 19:20 ]

zaterdag 3 december 2011 19:41

Acties:

0 Henk 'm!

vanaalten

Herkenbaar, dat is mij afgelopen jaar ook overkomen. Bij mij ging een windows-machine met malware spam versturen via m'n meterkast-mailserver. In no-time op diverse blacklists.

Ga er in elk geval niet van uit dat je 'slechts' op 1 blacklist staat. Bij mij waren het er meteen tientallen. Ik heb toen wel veel gehad aan deze website: publieke IP adres van je mailserver invoeren en afwachten wat de schade is.

Van daaruit ga je die blacklists af: dubbelklik op een blacklist en kijk per list hoe je er weer vanaf kan komen. Bij sommige gaat het vanzelf (als ze een week of zo geen spam van je krijgen ), bij andere kan je je opnieuw laten beoordelen en weer andere moet je een mailtje sturen.

Overigens is die lijst nog niet compleet: twee weken geleden kwam ik nog een microsoft blacklist tegen waar ik ook nog op stond.

Ga er van uit dat je, als je de oorzaak hebt opgelost, je zeker nog een week last er van zult hebben.

zaterdag 3 december 2011 19:46

Acties:

0 Henk 'm!

Freeaqingme

Nu kan het wel kloppen dat er ooit een trojan gestuurd is duur een van mijn klanten die geïnfecteerd is met een virus of iets anders

Ik hoop dat je inmiddels maatregelen genomen hebt waardoor dit niet meer kan voorkomen? Bijv. door een goede antivirus tool op je server te installeren?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

zaterdag 3 december 2011 19:53

Acties:

0 Henk 'm!

Dennism

forceer ook scans op alle PC's die mail mogen verzenden via deze machine. Vaak is de oorzaak van het komen op een blacklist een doodnormale machine die mag relayen via je mailserver. Deze is dan geinfecteerd met trojan/malware X en loopt via jouw host te spammen.

zaterdag 3 december 2011 19:59

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Freeaqingme schreef op zaterdag 03 december 2011 @ 19:46:
[...]

Ik hoop dat je inmiddels maatregelen genomen hebt waardoor dit niet meer kan voorkomen? Bijv. door een goede antivirus tool op je server te installeren?

Dat heb ik sinds het begin al gedaan. ClamAV is de populairste variant hiervoor. Deze heb ik ook getest dmv websites waar je je mailserver kan testen op spam, virus en dergelijke dingen waar rekening mee gehouden moet worden.

Nou kan het ook een lek in mijn server zijn zoals op een van de websites waar mails mee gestuurd kunnen worden.

Als ik even deze command uitvoer:

grep deferred /var/log/maillog

Dan moet ik letterlijk 3 minuten wachten totdat de log gelezen is.
Ik zie ook rare ontvangers zoals:
to=<mimi.derby@infonie.fr>
to=<zasdasd@sdsad.com>
to=<masonc@y7mail.com>
to=<jawsbreezy@yhaoo.co.uk>

Tevens een hele reeks aan yahoo mailaddressen. Ik krijg het idee dat mijn server deel neemt aan een botnet.
Ik heb geen open relay dus dat kan weer niet

Dennism schreef op zaterdag 03 december 2011 @ 19:53:
forceer ook scans op alle PC's die mail mogen verzenden via deze machine. Vaak is de oorzaak van het komen op een blacklist een doodnormale machine die mag relayen via je mailserver. Deze is dan geinfecteerd met trojan/malware X en loopt via jouw host te spammen.

Dat lijkt me sterk. Een grote webhoster komt ook niet langs omdat je een besmette pc hebt Dit is volgens mij echt geen client probleem maar een lek of iets anders.

edit:
Ik nam eens een kijke naar mijn postqueue naar de deferred mails. Ze komen allemaal van mij vandaan

9260F49F89B8    51981 Fri Dec  2 09:32:42  gokhan@mail.orhun.nl
(delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.59.194] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html)
                                         pricar@aol.com

91CAE4DFA627    95886 Fri Dec  2 15:01:22  gokhan@mail.orhun.nl
(delivery temporarily suspended: host mta5.am0.yahoodns.net[66.94.237.64] refused to talk to me: 421 4.7.0 [TS01] Messages from 95.211.77.108 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
                                         jessy4u6988@yahoo.com

9CA4649F88A8    51999 Fri Dec  2 09:32:18  gokhan@mail.orhun.nl
(delivery temporarily suspended: host mailin-01.mx.aol.com[205.188.59.194] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html)
                                         heinerle09@aol.com

96F0A4DF8E8D    44017 Fri Dec  2 10:12:58  gokhan@mail.orhun.nl
(delivery temporarily suspended: host mta5.am0.yahoodns.net[66.94.237.64] refused to talk to me: 421 4.7.0 [TS01] Messages from 95.211.77.108 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
                                         roastedcheese09@yahoo.com

Zoals je ziet wordt er vanuit gokhan@mail.orhun.nl de hele tijd spam verstuurd. Ik vraag me echt af hoe dit kan

[ Voor 53% gewijzigd door com2,1ghz op 03-12-2011 20:12 ]

zaterdag 3 december 2011 22:47

Acties:

0 Henk 'm!

blaataaps

Delistings aanvragen voordat je het probleem hebt opgelost zorgt er meestal voor dat je bij een volgende keer minder makkelijk ge-delist wordt.

Waar komen die mails vandaan volgens de logs? En ook niet onbelangrijk, waarom heb je ze nog niet uit je queue gegooid? Die mails staan er al sinds gisterochtend in, als je nu de bron hebt aangepakt, blijf je voorlopig toch nog bagger versturen als je de queue niet leegt.

zaterdag 3 december 2011 22:57

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Probleem opgelost.
Ik ging mijn logfile controleren en vervolgens controleren of alle programma''s wel goed werkten.
Na het wijzigen van de belangrijke root wachtwoorden gaven een aantal programmas fouten. Amavisd maakte bijvoorbeeld geen verbinding meer omdat er door mijn slordigheid nog root als user was.

Het bleek dat amavisd zijn config file niet kon inladen waardoor deze niet goed werkte. Maia en amavisd hadden dezelfde config file naam(van oorsprong) en de ene had ik even gerenamed omdat ik wilde weten of ik die echt nodig heb. En ja hoor daar zag ik hem: "amavisd.conf cannot be found"

Vervolgens liep ik postfix langs. en heb ik in main.cf de volgende instelling aangepast:

smtpd_recipient_restrictions =
   permit_sasl_authenticated,
   permit_mynetworks,
   reject_unauth_destination,
   reject_rbl_client list.dsbl.org,
   reject_rbl_client sbl-xbl.spamhaus.org,
   reject_rbl_client zen.spamhaus.org,
   reject_rbl_client cbl.abuseat.org,
   reject_rbl_client dul.dnsbl.sorbs.net,
   permit

Sommige van deze blacklists werken niet maar ik moet ze nog nalopen.

Als laatste voerde ik een postfix flush uit en alle spam mails werden geblokkeerd.
Kan ook zijn dat ik uit de blacklist ben van spamhaus en dat hotmail en gmail dit verwerkt hebben.

Ik ga ook nog kijken naar de sender restrictions en deze goed nalopen.

Van de week even een boek over Postfix kopen. Is handiger dan te zoeken op internet aangezien veel dingen klakkeloos worden gekopieerd zonder dat men weet waarvoor deze dient.

zondag 4 december 2011 00:09

Acties:

0 Henk 'm!

vanaalten

Ik snap het nog niet helemaal.

Amavis is de virusscanner die alle in- en uitgaande mail controleert - als die het niet doet, dan kan er dus geinfecteerde mail de deur uit gaan en dat kan dan tot blacklisting leiden.

Maar hoe verklaar je dan die mailqueue en logfile entries? Hoe kan het dat je zoveel spam loopt te versturen, enkel door een niet-werkende antivirus?

zondag 4 december 2011 00:29

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Ik zou denken dat je vooral zoveel spam verstuurt omdat je SMTP-service niet restrictief genoeg is afgesteld.

Gewoon de boel nog eens goed nagaan (en eventueel hier posten)

[ Voor 36% gewijzigd door begintmeta op 04-12-2011 00:34 ]

zondag 4 december 2011 00:50

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

vanaalten schreef op zondag 04 december 2011 @ 00:09:
Ik snap het nog niet helemaal.

Amavis is de virusscanner die alle in- en uitgaande mail controleert - als die het niet doet, dan kan er dus geinfecteerde mail de deur uit gaan en dat kan dan tot blacklisting leiden.

Maar hoe verklaar je dan die mailqueue en logfile entries? Hoe kan het dat je zoveel spam loopt te versturen, enkel door een niet-werkende antivirus?

Amavis is de framework die de virusscanner(ClamAV), spamfilter(spamassasin) en mta met elkaar samen laat werken. Zolang deze niet consistent met elkaar zijn gaat het fout

zondag 4 december 2011 02:39

Acties:

0 Henk 'm!

d1ng

Als amavis niet draait, zoals bij jou het geval was, betekent het dat amavis ge-bypassed werd. Dit kan de oorzaak zijn dat er spam verstuurd werd. Je zal postfix dus nog aan moeten passen zodat alles verplicht langs amavis moet. Anders heeft de (draaiende) amavis geen enkel nut en zal je snel weer op een blacklist belanden.

zondag 4 december 2011 03:48

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

d1ng schreef op zondag 04 december 2011 @ 02:39:
Als amavis niet draait, zoals bij jou het geval was, betekent het dat amavis ge-bypassed werd. Dit kan de oorzaak zijn dat er spam verstuurd werd. Je zal postfix dus nog aan moeten passen zodat alles verplicht langs amavis moet. Anders heeft de (draaiende) amavis geen enkel nut en zal je snel weer op een blacklist belanden.

Nou weet ik niet of dat mogelijk is maar postfix krijgt in ieder geval dan een fatal error(throttling nogwat)

zondag 4 december 2011 21:00

Acties:

0 Henk 'm!

Verwijderd

Is het alleen je mailserver die via dat adres naar buiten gaat, of staan er ook nog interne windows machines die via dit ipadres naar buiten gaan.

Het kan geen kwaad eens goed naar je hele config te kijken.
Je hebt best wel wat services draaien.
apache
php
roundcubewebmail
Het kan natuurlijk heel goed dat je server misbrukt word door een gat in 1 van deze services.
Ook kan het geen kwaad om authenticatie aan te zetten voor je uitgaande mail.
Dus men moet als men mail verzend dan eerst dee inlog gegevens meezenden.
Dit kan prima met dovecot en postfix.

Gr
Johan

dinsdag 6 december 2011 11:08

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Alweer 3 dagen verder en mijn log zit zonder errors. Het kwam echt door amavis die niet goed werkte.

Al vraag ik mij af hoe al die emails verzonden werden via mijn mail/machine. In de log zie je dat er mail verzonden werd van gokhan@mail.orhun.nl, oftewel gokhan(shell user) @ mail.orhun.nl(postfix hostname)

Open relay was al dichtgetimmerd in main.cf

dinsdag 6 december 2011 11:54

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Waarom die gokhan zo veel spam verstuurde is op zich nog wel interessant denk ik.

dinsdag 6 december 2011 12:00

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

begintmeta schreef op dinsdag 06 december 2011 @ 11:54:
Waarom die gokhan zo veel spam verstuurde is op zich nog wel interessant denk ik.

Ik gebruik Dovecot als imap en pop3 server maar ik vraag me af of amavis invloed heeft hierop.
Lokaal heb ik ook geen emailbestanden gevonden van gokhan@mail.orhun.nl. Ik kan ook niet zien waar die emails vandaan verstuurd worden. Dus door welke process.

In de database van postfixadmin zie ik ook niets over mail.orhun.nl.

Voor de duidelijkheid:
orhun.nl is mijn hoofddomein
mail.orhun.nl is de hostname in postfix.

dinsdag 6 december 2011 20:25

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Kan het zijn dat je postfix afzenders die maar doen alsof ze vanaf je server zenden niet weigert, of is het echt zo dat 'gokhan' de afzender moet zijn? dan lijkt die account gecompromitteerd.

[ Voor 32% gewijzigd door begintmeta op 06-12-2011 20:27 ]

dinsdag 6 december 2011 22:17

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Kijk ik heb een shell user die heet gokhan.

Wanneer ik het volgende uitvoer:

gokhan #:mail randomemail34@yahoo.com
Subject: Hey dit is een spambericht van gokhan
Spammetje
Viagra hier, viagra daar

Ctrl + D

Dan zou die gene een email krijgen van gokhan@mail.orhun.nl

Het lijkt dus dat er vanuit de shell emails verzonden worden dus.

dinsdag 6 december 2011 22:35

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Ik weet wel hoe je doorgaans mail kan versturen vanuit de shell, maar weet je zeker dat in dit geval die berichten ook vanuit de shell zijn verstuurd? Zo niet, is het wellicht zaak nog eens naar de sender restrictions te kijken, zo ja is het zaak om gokhan eens te vragen waarom hij spam verstuurt of eens na te gaan hoe iemand ongeoorloofd toegang tot een shell heeft kunnen krijgen.

dinsdag 6 december 2011 22:39

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

begintmeta schreef op dinsdag 06 december 2011 @ 22:35:
Ik weet wel hoe je doorgaans mail kan versturen vanuit de shell, maar weet je zeker dat in dit geval die berichten ook vanuit de shell zijn verstuurd? Zo niet, is het wellicht zaak nog eens naar de sender restrictions te kijken, zo ja is het zaak om gokhan eens te vragen waarom hij spam verstuurt of eens na te gaan hoe iemand ongeoorloofd toegang tot een shell heeft kunnen krijgen.

Dat is nou het probleem. Ik weet niet waar, via welk proces er mails verzonden zouden worden.
Als er nou stond dat httpd mails verzond dan zou ik mijn webdirectory even goed onder de loep nemen. Het probleem is dat ik dus geen idee heb. Als ik dus alleen kijk naar de sender email dan komt het dus echt van deze machine vandaan.

woensdag 7 december 2011 00:55

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Shell history bekeken? Zoals je zei, als je het mail commando gebruikt, wordt er een mail naar het betreffende adres gestuurd.
En het wachtwoord wijzigen van gokhan is ook geen slecht idee, evenals je .ssh/authorized_keys nalopen.

Vergeet ook niet dat php niet alleen via de webserver uitgevoerd kan worden, het kan ook via de shell gebruikt worden. Als je hier een lek in hebt, of ergens anders in waardoor er code uitgevoerd kan worden als een shell user, dan moet je patchen waar mogelijk. Desnoods zelf compileren als er geen patch in de repo te vinden is (en de bug al gefixt is in een release die allang in de repo zou moeten zitten).

Commandline FTW | Tweakt met mate

woensdag 7 december 2011 11:15

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Hero Of Time schreef op woensdag 07 december 2011 @ 00:55:
Shell history bekeken? Zoals je zei, als je het mail commando gebruikt, wordt er een mail naar het betreffende adres gestuurd.
En het wachtwoord wijzigen van gokhan is ook geen slecht idee, evenals je .ssh/authorized_keys nalopen.

Vergeet ook niet dat php niet alleen via de webserver uitgevoerd kan worden, het kan ook via de shell gebruikt worden. Als je hier een lek in hebt, of ergens anders in waardoor er code uitgevoerd kan worden als een shell user, dan moet je patchen waar mogelijk. Desnoods zelf compileren als er geen patch in de repo te vinden is (en de bug al gefixt is in een release die allang in de repo zou moeten zitten).

Shell history ga ik nog naar kijken. Alle belangrijke wachtwoorden mbt toegang tot de server zijn gewijzigd.

Ja ik dacht ook aan een php iets.
De volgende pakketten heb ik erop staat:
-Wordpress
-Bacula-web
-phpmyadmin
-postfixadmin
-cband stats
-awstats

En nog 2 sites van klanten waar php in zit verwerkt waarvan er 1 een Mysql db achter zich heeft om nieuws op te halen.

woensdag 7 december 2011 15:37

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Juist, en wie zegt dat Wordpress waterdicht is? Ik heb al een paar keer berichten gezien over gaten in Wordpress. Die kan zomaar misbruikt zijn en op die manier gaan mailen.

Ook phpmyadmin, om je MySQL database te beheren, is niet super veilig. Als het alleen voor jou is, zou ik 'm alleen op 't localnet laten luisteren, ipv je externe IP (desnoods op localhost). En dan via een SSH tunnel benaderen ofzo.

En natuurlijk PHP en Apache zelf kijken voor versienummer en updates. Standaard config werkt out-of-the-box, maar is niet altijd het veiligst.

Commandline FTW | Tweakt met mate

vrijdag 3 februari 2012 20:33

Acties:

0 Henk 'm!

com2,1ghz

Topicstarter

Probleem is terug. Weer zo'n 18000 mailtjes werden verzonden. Nu heb ik het echt grondig gecontroleerd.

Ik zag dat apache af en toe mailtjes verstuurde en toen viel het kwartje, php mail(). Wordpress heeft een bug op de license page en nog op bepaalde andere plekken waardoor ik een lek had in mn server en trojans mailtjes konden versturen.

Dit is op te lossen door ervoor te zorgen dat al het mail wat wordt verzonden smtp geverifieerd moet zijn en niet met local user kan mailen.
Op dit moment heb ik de mail functie van php tijdelijk uitgeschakeld.

In php.ini heb ik mail.log ingesteld dat alle mail() operaties gelogd worden en inderdaad, het was de mailfunctie van php.

Had dus de vorige keer extra geheugen in mn server geplaatst. In totaal 12 gb ram en 100% was in gebruik door postfix

Voorlopig is het opgelost