Coba periksa dengan 'cat /var/log/maillog|grep PWD | grep '/home/' |uniq -c | sort -nr | head -n10'. Akan anda temukan seperti ini:
cat /var/log/maillog|grep PWD | grep '/home/' |uniq -c | sort -nr | head -n100
2 Mar 30 23:31:49 oln3 root: sendmail: CALLER="php-fpm: pool devel" PWD="/home/devel/forum.mratwork.com" BAN="no"
2 Mar 30 20:02:20 oln3 root: sendmail: CALLER="php-fpm: pool devel" PWD="/home/devel/forum.mratwork.com" BAN="no"
2 Mar 30 19:40:37 oln3 root: sendmail: CALLER="php-fpm: pool devel" PWD="/home/devel/forum.mratwork.com" BAN="no"
Lihat yang paling banyak muncul PWD-nya, misalnya '/home/devel/forum.mratwork.com'.
Dari ini anda tambahkan '/home/devel/forum.mratwork.com' di file '/var/qmail/control/badsendmailfrom'.
Artinya, anda menghalangi sendmail (biasanya melalui mail() di php) dari website 'forum.mratwork.com' (karena document root-nya adalah '/home/devel/forum.mratwork.com').
Spam di website anda (ada file tertular) biasanya melakukan mengiriman email melalui fasilitas mail() memakai sendmail karena jika pakai smtp mereka harus tahu username/account dan password dari salahsatu account email di server anda.