Postfix выступает в роли спам-сервера. Похоже, это часть ботнета, спам-сообщения отправляются клиентам

Позвольте мне сначала сказать, что я не гуру почты. Если вам нужна дополнительная информация, чтобы помочь мне, просто дайте мне знать.

На этой неделе у почтового сервера были разные странные проблемы. На прошлой неделе он дублировал электронные письма, и даже не позволил мне подключиться к imap с thunderbird, пока postfix не будет перезапущен. Я никогда не определял, почему это было. Во всяком случае, несколько ночей назад я искал в почтовом журнале, пытаясь найти ответ, почему это может быть причиной этих проблем. Не имея реальных возможностей, я просто начал искать аномалии. Делая это, я наткнулся на тысячи сообщений электронной почты, которые направляются через почтовую систему. Насколько я могу судить, мой файл main.cf правильный, а postfix не должен действовать как открытый ретранслятор. Я не понимаю, как почта отправляется через систему. Кто-нибудь знает, как это возможно?

Спам-сообщения, кажется, приходят из сотен разных доменов со всего мира. Кажется, что большинство из них указывают на серверы CentOS, на которых работают apache, mail и ssh. Единственное, что на них настроено, это тестовая страница apache, которая поставляется с CentOS. Почты, которые отправляются через нашу систему, в основном отправляются на cornerstone-valuation.com (небольшой веб-сайт с формой для отправки электронной почты, в которой нет капчи), хотя некоторые из них отправляются из [EMAIL КЛИЕНТА] в одноразовую почтовую службу (10minutemail.com), а остальные от [УДАЛЕНО]@cfm-valuation.com. Это заставляет меня думать, что эти машины на самом деле являются частью ботнета, и наша машина тоже.

Оттуда все становится еще более диким. IP-адреса, которые рассылают спам через нашу систему по адресу [УДАЛЕНО]@cornerstone-valuation.com и drdrb.net, также рассылают спам многим нашим клиентам, использующим нашу систему. Может быть, все из них я не уверен. Это означает, что люди, делающие это, имеют доступ ко всем учетным записям электронной почты наших клиентов, которые находятся в /var/vmail/vmail1 (которые нельзя просмотреть даже без прав root) и распространили эту информацию по всему Интернету. Кто-нибудь здесь знает, как спамер получил эту информацию?

Вот примеры файлов журналов и огромный список доменов, которые, вероятно, указывают на капот серверов CentOS. Просто перейдите по ссылке ниже.

http://pastebin.com/raw.php?i=cJzjTZ46

Редактирование: Другая проблема заключается в том, что многие сообщения, которые отбрасываются на сервере, изначально не отправляются с сервера. Они приходят с внешних серверов, которые используют [НАШ ПОЧТОВЫЙ ДОМЕН] в операторах EHLO.