4 aydan uzun bir süre boyunca aynı e-postayı her 5 dakikada bir gönderme ve alma


12

Haziran ayında postfix / amavis / spamassassin vs kurulumumun düzgün çalıştığından emin olmak için kendime EICAR test imzasını gönderdim. O zaman fark etmedim, ama bu bir şekilde uzay-zaman sürekliliğinde bir gözyaşı ya da posta sunucusunun her seferinde kendisine tekrar tekrar gönderdiği bir şey yarattı.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Virüs bulaşmış postayı spam sunucusundaki dosyalardan ziyade virii@alanadim.com adresine yönlendirmek için bugün yapılan yapılandırmayı değiştirdiğimde sorunla karşılaştım. Bunun dört aydır her 5 dakikada bir yeniden gönderildiği anlaşılıyor.

Bu akşam saat 19: 00'da spam sunucusunu yeniden başlattıktan sonra kısa bir süre için durmuş gibi göründüm ve çözüldüğünü düşündüm, ancak 8: 16'da mesajı tekrar aldım ve her 5 dakikada bir. Beni biraz deli etmeye başlıyor.

Yardım?

Düzenleme: Yapılandırmayı bir posta kutusunda değil sunucuda virüs depolamak üzere değiştirdiğinizde sorun devam ediyor:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Sadece e-postalar yerine her 5 dakikada bir dosya alıyorum.

Düzenleme 2: Postfix ve Amavis'in yapılandırma tersine çevrilmesinden ve yeniden başlatılmasından sonra yeni tam günlükler:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

Değişiklikler eklendikten sonra yeni günlük çıktısı.
James Carppe

Fakat bunun farklı bir mesaj olduğunu görüyorsunuz. Farklı Message-ID ve farklı mail_id. Yani soru şu: Yerel postanızdan SMTP'yi kim / ne kullanıyor? Bir cron işi mi? Yazılım izleme? Postanın son Alınan satırında gösterilmelidir.
mailq

Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe

Ve benim crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe

2
Ah oğlum. Ben de anladım. Amavis'in çalışıp çalışmadığını kontrol eden bir Nagios betiği olduğu ortaya çıkıyor ve daha da önemlisi bu sorun için AV motorunun çalıştığını kontrol ediyor ... EICAR virüsü göndererek. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… ilgilenen varsa söz konusu komut dosyasıdır. Yardım etmeye çalışan herkese teşekkürler, kesinlikle hepsini anlamama yardım ettin!
James Carppe

Yanıtlar:


12

Sorun Amavis kurulumunuz.

Karantina hedefiniz bir posta adresi gibi görünüyor. Amavis, bu adrese teslim edilmek üzere virüs postasını Postfix'e geri enjekte eder. Postfix şimdi önce postayı taramaya karar veriyor ve Amavis'e delege veriyor. Amavis virüsü tanır ve karantina posta adresine teslim ederek karantinaya almaya çalışır. Yani ...

Kısır döngüyü alıyorsun, değil mi? Postaları klasör veya veritabanına karantinaya alın veya karantina postalarını virüslere karşı taramamak için bir istisna tanımlayın.

Düzenleme Anketi ait düzenlemeye

Şimdi Message-ID'ler farklı. Yani (şaşırtıcı bir şekilde) aynı içeriğe sahip farklı mesajlardır. Bu, bunun bir cron işi veya aynı içeriği göndermeye devam eden bir tür izleme yazılımı olduğuna (aynı posta değil) inanmamı sağlıyor.

Ve sonunda James, Nagios izleme yazılımının göndermeye devam ettiğini öğrendi ...


1
Bugün karantina hedefini yalnızca bir posta kutusuna değiştirdim ve bu sorun 4 aydır devam ediyor. Önceki ayar $ virus_quarantine_to = 'virus-quarantine' idi ve bunları / var / lib / amavis / virusmails içinde sakladı. Bu ayarlandığında, sorun hala devam ediyordu.
James Carppe

1
Ayrıca, bu yalnızca bu özel mesajla oluşur. Standart e-postalarda kullanıcılara gelen diğer gerçek virüsler sorunsuz bir şekilde alınır ve kaldırılır.
James Carppe

5

Ah oğlum.

Ben de anladım. Amavis'in çalışıp çalışmadığını kontrol eden bir Nagios betiği olduğu ortaya çıkıyor ve daha da önemlisi bu sorun için AV motorunun çalıştığını kontrol ediyor ... EICAR virüsü göndererek.

Eğer ilgilenen varsa http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details söz konusu komut dosyasıdır.

Yardım etmeye çalışan herkese teşekkürler, kesinlikle hepsini anlamama yardım ettin!


1

Postfix ve amavis kurulumunuza bağlı olarak durum böyle olabilir. Postfix bir yere göndermeye çalışırsa ve amavis gönderimi durdurursa (son üçüncü satırda belirtildiği gibi), mesaj sırada kalır. Normalde, kuyruk göndermeden 72 saat sonra silinir, ancak amavis ayrıca mesajın silinmesini de engellerse (bir virii dosyasına başka bir erişim olduğu için), mesaj asla kuyruktan çıkmaz.

Bu mesajın gönderme kuyruğunu veya adres düzeltme eki postmininistrative araçlarıyla silmeyi zaten denediniz mi?


Evet, şimdi birden çok yeniden başlatmayla birlikte kuyruğu birkaç kez temizledi (postsuper -d ALL). Mesajın hiçbir yerinde hiçbir iz bulamıyorum, bu yüzden nereden geldiği konusunda kafam karıştı. Herhangi bir yardım varsa, hepsini ayarlama kılavuzu olarak www200.pair.com/mecham/spam/spamfilter20110303.html'yi kullandım . Orada bilgi çok.
James Carppe
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.