Обнаружилась следущая проблема - знакомый админ сообщил, что с нашего сервера на него (допустим "Сервер А") идет спам. Стали искать спамера в локальной сети - комп, который бы слал на 25 порт "Сервера А" почту...такого не обнаружилось, а как сообщили спам идет.
Далее - попытка прослушать внешний интерфейс:
tcpdump -i em1 dst host Сервер А

показала, что почта туда идет.. редко, но идет..
отправитель - наш сервер..порты, с которых уходит почта - каждый раз разные.

У меня основной вопрос : подскажите - где копать! что это может быть?
Sendmail для свободного роутинга почты - закрыт. Только из внутренней подсети.. кроме того - в логах сэндмэли - ничего нет...

• Как обнаружить источник спам-рассылки,Жека, 22:22 , 31-Янв-06
  • Как обнаружить источник спам-рассылки,cybersun, 23:51 , 31-Янв-06
    • Как обнаружить источник спам-рассылки,Kikoz, 10:53 , 01-Фев-06

Попробуйте netstat -nap |grep 25
и будет видно процесс, инициирующий соединения. Можно по крону оставить на часик и почитать лог. А вообще полезно иногда ставить на ночь примерно такое:
tcpdump -i ethX src net 10.0.0.0/24 >>mail.log
чтобы потом разбирать, кто, куда и зачем...

Основные методы уже подсказали, в добавок сообщу, что исходящую почту на спам тоже проверять надо. Настраивай фильтры...

всем спасибо за ответы.

я разобрался, все оказалось хитрей
На на шем серваке лежала днс зона, для которой Сервер А был Примари ДНС...мы были - секондори..так вот в настройках сэндмэила было
FEATURE(`relay_based_on_MX') - разрешает RELAY для тех, для кого мы - MX

:) мы как раз были MX для зоны с Сервера А.

пофиксив зону. все стало нормально...