4 aydan uzun bir süre boyunca aynı e-postayı her 5 dakikada bir gönderme ve alma

Haziran ayında postfix / amavis / spamassassin vs kurulumumun düzgün çalıştığından emin olmak için kendime EICAR test imzasını gönderdim. O zaman fark etmedim, ama bu bir şekilde uzay-zaman sürekliliğinde bir gözyaşı ya da posta sunucusunun her seferinde kendisine tekrar tekrar gönderdiği bir şey yarattı.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Virüs bulaşmış postayı spam sunucusundaki dosyalardan ziyade virii@alanadim.com adresine yönlendirmek için bugün yapılan yapılandırmayı değiştirdiğimde sorunla karşılaştım. Bunun dört aydır her 5 dakikada bir yeniden gönderildiği anlaşılıyor.

Bu akşam saat 19: 00'da spam sunucusunu yeniden başlattıktan sonra kısa bir süre için durmuş gibi göründüm ve çözüldüğünü düşündüm, ancak 8: 16'da mesajı tekrar aldım ve her 5 dakikada bir. Beni biraz deli etmeye başlıyor.

Yardım?

Düzenleme: Yapılandırmayı bir posta kutusunda değil sunucuda virüs depolamak üzere değiştirdiğinizde sorun devam ediyor:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Sadece e-postalar yerine her 5 dakikada bir dosya alıyorum.

Düzenleme 2: Postfix ve Amavis'in yapılandırma tersine çevrilmesinden ve yeniden başlatılmasından sonra yeni tam günlükler:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

Sorun Amavis kurulumunuz.

Karantina hedefiniz bir posta adresi gibi görünüyor. Amavis, bu adrese teslim edilmek üzere virüs postasını Postfix'e geri enjekte eder. Postfix şimdi önce postayı taramaya karar veriyor ve Amavis'e delege veriyor. Amavis virüsü tanır ve karantina posta adresine teslim ederek karantinaya almaya çalışır. Yani ...

Kısır döngüyü alıyorsun, değil mi? Postaları klasör veya veritabanına karantinaya alın veya karantina postalarını virüslere karşı taramamak için bir istisna tanımlayın.

Düzenleme Anketi ait düzenlemeye

Şimdi Message-ID'ler farklı. Yani (şaşırtıcı bir şekilde) aynı içeriğe sahip farklı mesajlardır. Bu, bunun bir cron işi veya aynı içeriği göndermeye devam eden bir tür izleme yazılımı olduğuna (aynı posta değil) inanmamı sağlıyor.

Ve sonunda James, Nagios izleme yazılımının göndermeye devam ettiğini öğrendi ...

Ah oğlum.

Ben de anladım. Amavis'in çalışıp çalışmadığını kontrol eden bir Nagios betiği olduğu ortaya çıkıyor ve daha da önemlisi bu sorun için AV motorunun çalıştığını kontrol ediyor ... EICAR virüsü göndererek.

Eğer ilgilenen varsa http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details söz konusu komut dosyasıdır.

Yardım etmeye çalışan herkese teşekkürler, kesinlikle hepsini anlamama yardım ettin!

Postfix ve amavis kurulumunuza bağlı olarak durum böyle olabilir. Postfix bir yere göndermeye çalışırsa ve amavis gönderimi durdurursa (son üçüncü satırda belirtildiği gibi), mesaj sırada kalır. Normalde, kuyruk göndermeden 72 saat sonra silinir, ancak amavis ayrıca mesajın silinmesini de engellerse (bir virii dosyasına başka bir erişim olduğu için), mesaj asla kuyruktan çıkmaz.

Bu mesajın gönderme kuyruğunu veya adres düzeltme eki postmininistrative araçlarıyla silmeyi zaten denediniz mi?