Se você conhece a conta de e-mail de onde vem o spam, você definitivamente terá que alterar a senha. Como você sabe que o spam é enviado através de algum script?
Se ele for enviado por meio de um script vulnerável (PHP? -), para descobrir de onde ele vem, você deve criar um wrapper do sendmail, já que os scripts geralmente usam o binário do sendmail para enviar e-mails.
Crie um arquivo /usr/sbin/sendmail-wrapper
com este conteúdo:
#!/bin/sh
TODAY='date -Iseconds'
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/sbin/sendmail-real "$@"
Para ativar seu wrapper, mova o binário real do sendmail:
mv /usr/sbin/sendmail /usr/sbin/sendmail-real
e mova o wrapper:
mv /usr/sbin/sendmail-wrapper /usr/sbin/sendmail
Toda vez que o sendmail é chamado, ele adicionará um cabeçalho adicional ao e-mail e registrará o caminho que o sendmail foi chamado de /tmp/mail.send
. Desta forma, você deve ser capaz de encontrar o script problemático.
Certifique-se de colocar o binário original do sendmail de volta no lugar para evitar que /tmp/mail.send
cresça indefinidamente.