Postfix отправка и получение одного и того же электронного письма каждые 5 минут в течение 4+ месяцев

12

Еще в июне я отправил себе тестовую подпись EICAR, чтобы убедиться, что мои настройки postfix / amavis / spamassassin и т. Д. Работают правильно. В то время я не заметил, но это как-то создало разрыв в пространственно-временном континууме или что-то такое, из-за чего каждые 5 минут почтовый сервер отправляет его себе снова и снова.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Я наткнулся на эту проблему, когда изменил конфигурацию сегодня, чтобы маршрутизировать зараженную вирусом почту на адрес virii@mydomain.com, а не на файлы на сервере спама. Кажется, это повторяет каждые 5 минут в течение четырех месяцев.

Кажется, я ненадолго остановил его после перезагрузки спам-сервера в 7 часов вечера и подумал, что оно решено, но в 20:16 я снова получил сообщение, и с тех пор каждые 5 минут. Это начинает сводить меня с ума.

Помогите?

Изменить: При изменении конфигурации обратно на хранение вирусов на сервере, а не в почтовом ящике, проблема продолжает:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Просто вместо писем я получаю файлы каждые 5 минут.

Редактировать 2: Новые полные журналы после возврата конфигурации и перезапусков Postfix и Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
Джеймс Карп
источник
Новый вывод журнала после внесенных изменений.
Джеймс Карппе
Но вы видите, что это другое сообщение. Другой Message-ID и другой mail_id. Таким образом, остается вопрос: кто / что использует SMTP с вашего локального компьютера для доставки этой почты? Cron работа? Программное обеспечение для мониторинга? Должен быть показан в последней полученной строке письма.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
Джеймс Карппе
И мой crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
Джеймс Карп
2
О, парень. Итак, я понял это. Оказывается, это был сценарий Nagios, который проверяет, работает ли amavis, и, что более важно, для этой конкретной проблемы, проверяет, работает ли AV-движок ... отправляя ему вирус EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… - это сценарий, если кому-то это интересно. Спасибо всем тем, кто пытался помочь, вы определенно помогли мне разобраться во всем!
Джеймс Карппе

Ответы:

12

Проблема в настройке Amavis.

Ваш карантинный адрес, кажется, адрес электронной почты. Таким образом, Amavis вставляет вирусную почту обратно в Postfix для доставки по этому адресу. Postfix теперь решает сначала отсканировать почту и делегирует Amavis. Amavis распознает вирус и пытается поместить его в карантин, доставляя его на карантинный почтовый адрес. Так ...

Вы получаете замкнутый круг, верно? Либо помещайте сообщения на карантин в папку или базу данных, либо определите исключение, чтобы не проверять сообщения на карантине на наличие вирусов.

Изменить для редактирования опрашивающего

Теперь идентификаторы сообщений отличаются. Это означает, что это разные сообщения с (на удивление) одинаковым содержанием. Это заставляет меня поверить, что это либо работа cron, либо какое-то программное обеспечение для мониторинга, которое продолжает посылать одно и то же содержимое (а не идентичное письмо).

И в конце Джеймс узнал, что его программное обеспечение для мониторинга Nagios продолжает отправлять ...

mailq
источник
1
Я только изменил место назначения карантина на почтовый ящик сегодня, и эта проблема была в течение 4 месяцев. Предыдущий параметр был $ virus_quarantine_to = 'virus-quarantine', который хранит их в / var / lib / amavis / virusmails. Когда это было установлено, проблема все еще происходила.
Джеймс Карппе
1
Кроме того, это происходит только с этим конкретным сообщением. Другие настоящие вирусы, которые поступают на стандартные электронные письма пользователям, обнаруживаются и удаляются без проблем.
Джеймс Карппе
5

О, парень.

Итак, я понял это. Оказывается, это был сценарий Nagios, который проверяет, работает ли amavis, и, что более важно, для этой конкретной проблемы, проверяет, работает ли AV-движок ... отправляя ему вирус EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details - это сценарий, если кому-то это интересно.

Спасибо всем тем, кто пытался помочь, вы определенно помогли мне разобраться во всем!

Джеймс Карп
источник
1

Это может иметь место, в зависимости от ваших настроек postfix и amavis. Если postfix попытается отправить его куда-нибудь и amavis перехватит отправку (как указано в третьей последней строке), сообщение останется в очереди. Обычно очередь удаляется через 72 часа после ее отсутствия, но если amavis также блокирует удаление сообщения (так как это другой доступ к virii-файлу), сообщение никогда не выходит из очереди.

Вы уже пытались просто удалить очередь отправки для этого сообщения или даже адреса с помощью административных инструментов postfix?

Lars
источник
Да, очистил очередь несколько раз (postsuper -d ALL) вместе с несколькими перезагрузками. Я нигде не могу найти никаких следов сообщения, поэтому я так растерялся, откуда оно приходит. Если это поможет, я использовал www200.pair.com/mecham/spam/spamfilter20110303.html в качестве руководства по настройке. Хотя там много информации.
Джеймс Карппе