Надсилання та отримання електронної пошти після коду через кожні 5 хвилин протягом 4+ місяців


12

Ще в червні я надіслав собі тестовий підпис EICAR, щоб переконатися, що налаштування Postfix / amavis / spamassassin тощо працює належним чином. Я цього часу не помічав, але це якось створило сльозу в просторі-часі континууму чи щось, завдяки чому кожні 5 хвилин поштовий сервер надсилає його собі знову і знову.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Я наткнувся на проблему, коли сьогодні змінив конфігурацію, щоб перенести заражену вірусом пошту на адресу virii@mydomain.com, а не на файли на сервері спаму. Здається, це вже чотири місяці повторно надсилається кожні 5 хвилин.

Я, здавалося, коротко зупинив його після перезавантаження спам-сервера сьогодні о 7 вечора, і подумав, що це вирішилось, але о 20:16 я отримав повідомлення ще раз, і через кожні 5 хвилин. Починає мене трохи шалено.

Допомога?

Редагувати: Якщо змінити конфігурацію назад для зберігання вірусів на сервері, а не в поштовій скриньці, проблема продовжується:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Просто замість електронної пошти я отримую файли кожні 5 хвилин.

Редагування 2: нові повні журнали після відновлення конфігурації та перезавантаження Postfix та Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

Після доданих змін новий журнальний вихід.
Джеймс Карппе

Але ви бачите, що це інше повідомлення. Різні ID повідомлення та різні mail_id. Тож залишається питання: хто / що використовує SMTP з вашої локальної машини для доставки цієї пошти? Cron робота? Програмне забезпечення для моніторингу? Потрібно відображатись в останньому отриманому рядку пошти.
mailq

Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
Джеймс Карппе

І мій crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
Джеймс Карппе

2
О, малюк. Отже, я зрозумів це. Виявляється, це був сценарій Nagios, який перевіряє, чи працює amavis, і що ще важливіше для цієї проблеми, перевіряє, чи працює AV-двигун ..., надсилаючи йому вірус EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… - це відповідний сценарій, якщо когось цікавить. Дякую всім тим, хто намагався допомогти, ви, безумовно, допомогли мені все це зрозуміти!
Джеймс Карппе

Відповіді:


12

Проблема полягає в налаштуванні Amavis.

Вашим карантинним пунктом призначення є поштова адреса. Тож Amavis вводить вірусну пошту назад у Postfix, щоб доставити її за цією адресою. Тепер Postfix вирішує сканувати пошту спочатку і делегує Amavis. Amavis розпізнає вірус і намагається його карантинувати, доставляючи на поштову адресу карантину. Так ...

Ви отримуєте порочне коло, правда? Або карантинну пошту в папку або базу даних, або визначте виняток, щоб не сканувати карантинну пошту на наявність вірусів.

Змінити до редакції запитувача

Тепер ідентифікатори повідомлення відрізняються. Це означає, що це різні повідомлення з (на диво) однаковим змістом. Це змушує мене вважати, що це або робота з крон, або якесь програмне забезпечення для моніторингу, яке продовжує надсилати один і той же вміст (не однакову пошту).

І наприкінці Джеймс дізнався, що його програмне забезпечення для моніторингу Nagios продовжує надсилати ...


1
Я лише сьогодні змінив призначення карантину на поштову скриньку, і ця проблема трапляється вже 4 місяці. Попереднє налаштування було $ virus_quarantine_to = 'вірус-карантин', який зберігає їх у / var / lib / amavis / virusmails. Коли це було встановлено, питання все ще виникало.
Джеймс Карппе

1
Крім того, це, мабуть, має місце саме з цим повідомленням. Інші справжні віруси, які надходять на стандартні електронні листи користувачам, збираються та видаляються без проблем.
Джеймс Карппе

5

О, малюк.

Отже, я зрозумів це. Виявляється, це був сценарій Nagios, який перевіряє, чи працює amavis, і що ще важливіше для цієї проблеми, перевіряє, чи працює AV-двигун ..., надсилаючи йому вірус EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details - це відповідний сценарій, якщо когось цікавить.

Дякую всім тим, хто намагався допомогти, ви, безумовно, допомогли мені все це зрозуміти!


1

Це може бути так, залежно від налаштування постфіксу та amavis. Якщо постфікс намагається надіслати його кудись, а amavis перехопить відправлення (як зазначено в третьому останньому рядку), повідомлення залишиться у черзі. Зазвичай, черга буде видалена через 72 години не надсилання, але якщо amavis також блокує видалення повідомлення (оскільки це ще один доступ до virii-файлу), повідомлення ніколи не виходить із черги.

Ви вже намагалися просто видалити чергу відправлення цього повідомлення або навіть адресу через адміністративні інструменти Postfix?


Так, очищали чергу кілька разів (postsuper -d ВСЕ), разом із кількома перезавантаженнями зараз. Я ніде не можу знайти жодного сліду повідомлення, тому я так розгублений, звідки воно походить. Якщо це допомога, я використовував www200.pair.com/mecham/spam/spamfilter20110303.html як керівництво по налаштуванню цього. Багато інформації, хоча.
Джеймс Карппе
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.