1,208 26/03/2026 07/04/2026 5 min

Diagnosi probabile

Quando un account email inizia a inviare spam, le cause più comuni sono tre: credenziali compromesse, script o applicazioni che inviano posta senza controllo oppure configurazioni SMTP deboli che permettono uso improprio da client o IP non autorizzati. In alcuni casi il problema nasce da un sito web infetto, da plugin vulnerabili o da un dispositivo locale compromesso che usa l’account per spedire messaggi.

Il rischio principale è duplice: l’account può essere bloccato dal provider e il dominio può finire in blacklist, con impatto su consegna, reputazione e posta legittima. Per questo conviene prima contenere l’abuso, poi identificare la sorgente e solo dopo ripristinare l’accesso.

Verifiche immediate

  1. Controlla se la posta in uscita è anomala: numero di messaggi inviati, orari, destinatari ripetitivi o sconosciuti, presenza di bounce e code SMTP. Se vedi picchi improvvisi o invii verso indirizzi casuali, l’account è probabilmente compromesso.
  2. Verifica l’origine degli accessi: IP, paesi, device o client mail insoliti. Se il provider o il pannello mostra sessioni recenti sospette, considera l’account a rischio anche se la password sembra corretta.
  3. Controlla eventuali sorgenti applicative: form del sito, CMS, plugin, script PHP o cron che inviano email. Se lo spam parte da un sito, cambiare solo la password non basta.

Soluzione consigliata passo-passo

  1. Blocca subito l’invio dal pannello mail o dal provider, se disponibile. In molti ambienti puoi sospendere temporaneamente l’account o disabilitare SMTP per fermare l’abuso senza cancellare dati. Se usi cPanel, Plesk o un pannello hosting, cerca la sezione relativa a mail account, sospensione o limiti di invio. L’obiettivo è fermare lo spam prima di fare altre modifiche.
  2. Cambia la password dell’account con una nuova e unica, lunga almeno 14-16 caratteri. Se la stessa password è stata usata altrove, cambiala anche negli altri servizi. Dopo il cambio, verifica che i client autorizzati si riconnettano correttamente e che i tentativi da app vecchie non continuino a generare errori o invii anomali.
  3. Revoca le sessioni e i dispositivi collegati se il provider lo consente. Questo è utile quando un aggressore ha salvato la password in un client mail, in uno smartphone o in una webmail già autenticata. Dopo la revoca, controlla che solo i dispositivi previsti possano accedere di nuovo.
  4. Rivedi i record e le policy di autenticazione: SPF, DKIM e DMARC non fermano da soli un account compromesso, ma aiutano a limitare gli effetti e a migliorare la reputazione. Verifica che il dominio abbia SPF coerente con i server autorizzati, DKIM attivo e DMARC almeno in modalità di monitoraggio. Se mancano, la consegna futura può peggiorare e gli abusi diventano più difficili da tracciare.
  5. Isola la sorgente applicativa se lo spam viene dal sito o da un’applicazione. Disabilita temporaneamente il plugin, lo script o il form sospetto, poi controlla i log del web server e della posta per trovare il punto di emissione. Se il sito è WordPress, cerca plugin di form, newsletter, SMTP relay o moduli caricati di recente. Se trovi file alterati, ripristina da backup sano prima di riattivare l’invio.
  6. Verifica il server o il dispositivo che invia la posta. Su un server Linux, controlla i log del mail server e del web server per capire se l’abuso arriva da PHP, da un cron o da un login SMTP. Su un PC o smartphone, esegui una scansione antimalware e rimuovi client sconosciuti o profili di posta non autorizzati. Se il problema è locale, cambiare password senza pulire il dispositivo può non risolvere.
  7. Riduci la superficie d’attacco: abilita MFA dove disponibile, limita l’uso di SMTP ai soli client necessari e imposta password uniche per gli account più sensibili. Se il provider permette restrizioni IP o app password separate, usale per i casi compatibili. Questo aiuta a evitare che un singolo furto di credenziali apra l’intero account.

Nota pratica: se lo spam è partito da un sito web, la priorità è trovare e fermare il punto di invio. Se cambi solo la password ma lasci attivo il form o lo script vulnerabile, l’abuso può ripartire subito.

Controlli finali / rollback

  1. Controllo finale: verifica che la coda di posta sia vuota o sotto controllo, che non ci siano nuovi invii anomali e che i bounce diminuiscano. Se il provider offre statistiche, confronta il volume prima e dopo l’intervento per confermare il blocco dell’abuso.
  2. Controllo reputazione: verifica se il dominio o l’IP risultano in blacklist principali e monitora la consegna dei messaggi legittimi nelle ore successive. Se i messaggi continuano a finire in spam, il problema potrebbe essere ancora attivo oppure la reputazione è stata già compromessa.
  3. Rollback sicuro: se dopo la pulizia un’applicazione legittima non riesce più a inviare, riabilita solo il componente necessario e non l’intero account senza verifica. Se hai disabilitato un plugin o uno script, riattivalo solo dopo aver corretto la vulnerabilità e confermato dai log che l’invio è regolare.
  4. Conferma operativa: effettua un invio di test verso un indirizzo controllato, controllando header, autenticazione e tempi di consegna. L’esito atteso è un messaggio consegnato correttamente, senza nuovi invii paralleli o destinatari anomali.

Se vuoi, posso trasformare questo contenuto in una versione più orientata a cPanel, Plesk, WordPress o server Linux, mantenendo lo stesso taglio pratico.