En a kovetkezokepp csinaltam. (tudom, eleg primitiv megoldas, de eddig meg mindig kiderult belole a megoldas). Mod_securityvel audit logot kapcsoltam (tudom, nagyon forgalmas szerveren nem jarhato ut, de akkor filtert kell betenni, es azzal logoltatni, minta lehet egy mailcim), majd azt nyalaztam at, miutan latszott, hogy spammeltek. Tuzfalon letiltottam addig a 25os portot kifele, mailqban felgyult a sok @aol.com -ra kuldott level, audit.log-ban rakerestem arra, hogy aol.com, es igy megtalaltam, hogy melyik juzer melyik szarjan keresztul tudnak folyamatosan maileket kuldeni. Eddig meg mindig a csodalatos mail() fuggveny volt a ludas. Ha a teljes logolas nem megy, es a levelek celzottan egy domainre mentek, pl aol.com, akkor megoldas lehet, hogy mod_sec-ben csinalsz egy filtert erre a domainre, aztan nem deny-oltatod, csak logoltatod vele, es ha makod van, a logban benne lesz ami neked kell.