Bonjour à tous,
 
Ceci est un appel à l'aide assez urgent... le désarroi me guette !
 
Mon serveur privé linux virtuozzo a été suspendu par Amen (un hébergeur, au passage, que je déconseille fortement...) :
 
"Votre serveur privé Amen (...) à été suspendu suite à l'instabilité de la plateforme physique hébergeant ce Serveur privé ainsi que ceux d'autres client.
En effet, suite à la présence d'instabilités, nos équipes d'administration ont déterminé que le très grand nombre de processus actifs simultanément sur votre serveur en était à l'origine.
Les processus impliquées étaient de type relaylock, c'est à dire de messagerie.
Si vous ne savez pas d'où proviennent ces processus, il est possible que vous ayez été piraté: dans ce cas, une réinstallation complète et définitive de votre serveur est le seul moyen de vous prémunir de futurs problèmes.
"
 
J'ai finalement pu reprendre la main sur le serveur, mais on me somme de corriger rapidement le problème sous peine d'une désactivation du pack.
 
Sachant qu'il n'est pas rare que le support de Amen raconte un peu n'importe quoi (...), plusieurs questions se posent :
 
1. Bien que je sois sur un serveur privé type VDS (virtuozzo linux), donc partagé, Qmail est installé sur chaque serveur et je ne vois pas très bien en quoi un (prétendu) surnombre de processus sur mon serveur privé (donc avec part de CPU et part de RAM limitées) peut impacter l'ensemble de la plateforme... vous pensez que c'est réellement possible ?  
 
2. J'ai étudié les logs, en particulier la var/log/warn, et je n'ai pas trouvé de "très grand nombre de processus de type relaylock actifs simultanément"  : il y a bien sur un assez grand nombre de relaylocks (environ 1 par minute en moyenne) mais c'est tout à fait dans les normes me semble-t-il...
Quelles logs faut-il vérifier dans ces cas-là (il y a le choix dans var/log : warn, mail.warn, messages, mail.info, mail.err, xinetd.log ...) et comment détecter de graves anomalies/attaques ?
 
3. En quoi une réinstallation du serveur pourrait résoudre ce genre de problèmes ??
J'ai simplement fermé le relai sur mon serveur de messagerie depuis le plesk (préférences de messagerie du serveur), qui était auparavant en mode de relayage avec autorisation (pop3 & smtp authentifié), et il semble, heureusement, que cela ne change rien à l'envoi et la réception de mails sur mon serveur, à ma grande surprise !
En effet, je lis pourtant ceci dans la doc de Plesk :
"Avec le relais fermé, le serveur de messagerie n'acceptera que les e-mails adressés aux utilisateurs dont les boîtes aux lettres se trouvent sur ce serveur. Vos clients ne pourront pas envoyer d'e-mail par le biais de votre serveur SMTP d'envoi. Nous vous déconseillons donc le choix de l'option Relais fermé."
... je m'attendais au pire : ne plus pouvoir recevoir de mails en provenance d'adresses externes et ne plus pouvoir envoyer de mails depuis le smtp de notre serveur sur des adresses externes.
Mais ce n'est pas du tout ce qui s'est produit ! En fait, je ne constate aucune différence par rapport à avant...
Qqun pourrait-il mieux m'expliquer SVP les conséquences réelles d'un relais fermé ?
Et surtout est-ce que ca peut vraiment résoudre mon problème (si problème il y a bien sur...) ?
 
Un grand grand merci d'avance pour vos précieux conseils !

oui

en virant des scripts installés de manière frauduleuse sur ta machine

ce qui est un signe inquiétant... ta machine relaie a priori tous les mails (si on fait confiance a ce que tu nous dis) et il parait donc normal que Amen soit un peu irrité par la présence d'un tel serveur.

si le relay est désactivé tu recevras toujours tes mails mais tu ne pourras en envoyer que par le biais de la machine (webmail ou application web troué...)

oui.
Et a priori il y a un problème.
Il serait important de lire la documentation de qmail et de le configurer de manière adéquate...

/var/log/mail.log => tu verras de suite si ton serveur SMTP est/était un relais ouvert utilisé par des spammers.

Merci bcp pour vos réponses... je commence à y voir un peu plus clair.

Mais j'ai vraiment du mal à croire que j'ai des scripts installés de manière frauduleuse sur ma machine...

En fait, on a fermé le relais mais il y avait toujours 127.0.0.0 / 8 dans la liste blanche ... le pbm vient pê de là ?
Encore que le fait d'avoir enlevé ce 127.0.0.0 / 8 n'a pas l'air de changer grand chose d'après les logs.
(et on arrive toujours à envoyer et recevoir des mails externes... ouf !)

Il n'y a pas de mail.log mais si je prends la mail.warn, voilà ce que j'ai par exemple :

Dec 29 12:03:46 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 189.117.85.59:4740 (59.85.117.189.isp.timbrasil.com.br)
Dec 29 12:03:49 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 200.195.132.146:3140 (146.132.195.200.static.copel.net)
Dec 29 12:04:12 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 85.90.197.93:4587 (85-90-197-93.adsl.sta.kh.velton.ua)
Dec 29 12:04:57 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 69.41.155.10:3036 (69-41-155-10.povnweb2.com)
Dec 29 12:04:59 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 90.177.134.163:25409 (163.134.broadband10.iol.cz)
Dec 29 12:05:07 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 69.5.251.3:29939 (not defined)
Dec 29 12:05:10 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 119.71.251.92:4212 (not defined)
Dec 29 12:05:10 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 118.69.68.246:62625 (not defined)
Dec 29 12:05:29 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 93.87.236.186:2229 (not defined)
Dec 29 12:05:50 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 195.70.54.155:27116 (not defined)
Dec 29 12:06:08 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 62.193.206.46:36395 (av3.amenworld.com)
Dec 29 12:06:19 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 218.187.7.41:14995 (nk218-187-7-41.dialup.dynamic.apol.com.tw)
Dec 29 12:06:21 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 122.255.24.82:63160 (p04.wow.lk)
Dec 29 12:06:23 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 118.91.117.44:4904 (not defined)
Dec 29 12:07:12 vds-785871 relaylock: /var/qmail/bin/relaylock: mail from 219.94.56.115:15670 (56.94.219.in-addr.arpa)

C'est si anormal que çà d'avoir "autant" de mails qui tentent de transiter par ma machine ?
(Je croyais que c'était le principe d'un serveur de messagerie... !)

Encore MERCI pour votre aide.

Tu dois avoir un log plus conséquent, avec détail des expediteurs et destinataires de chaque mail qui transite (ou est refusé).
 
Après, savoir si c'est normal ou anormal... ben ca dépends.
Si les mails qui passent te sont destiné ou partent de toi, c'est OK.
Si n'importe qui peut s'en servir pour envoyer à n'importe qui (c'est un relais ouvert), la c'est pas normal du tout, enfin plus depuis 10 ans

ok c'est la log mail.info en effet
 
Et en effet on peut bien faire la différence entre un message valide envoyé :
 

 
... et des messages bloqués par le config (que le relais soit fermé ou ouvert par authentification comme avant d'ailleurs) :
 

 
Merci.