Postfix mengirim dan menerima email yang sama setiap 5 menit selama 4+ bulan

Kembali pada bulan Juni saya mengirim sendiri tanda tangan tes EICAR untuk memastikan pengaturan postfix / amavis / spamassassin dll saya berfungsi dengan baik. Saya tidak memperhatikan pada saat itu, tetapi ini entah bagaimana membuat air mata dalam kontinum ruang-waktu atau sesuatu dimana setiap 5 menit server email mengirimkannya sendiri, berulang-ulang.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Saya menemukan masalah ketika saya mengubah konfigurasi hari ini untuk merutekan email yang terinfeksi virus ke alamat virii@mydomain.com daripada ke file di server spam. Tampaknya ini telah mengirim ulang setiap 5 menit selama empat bulan sekarang.

Saya sepertinya menghentikannya sebentar setelah me-reboot server spam pada jam 7 malam malam dan mengira itu sudah selesai, tetapi pada jam 8:16 saya mendapat pesan itu lagi, dan setiap 5 menit sejak itu. Itu mulai membuatku sedikit gila.

Tolong?

Sunting: Pada mengubah konfigurasi kembali ke menyimpan virus di server daripada di kotak surat, masalah berlanjut:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Alih-alih email saya mendapatkan file, setiap 5 menit.

Sunting 2: Log lengkap baru setelah pengembalian konfigurasi dan restart Postfix dan Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

— James Carppe
sumber

Output log baru setelah perubahan ditambahkan.

— James Carppe

Tetapi Anda melihat ini adalah pesan yang berbeda. Message-ID berbeda dan mail_id berbeda. Jadi pertanyaannya tetap: Siapa / apa yang menggunakan SMTP dari mesin lokal Anda untuk mengirimkan surat itu? Pekerjaan cron? Perangkat lunak pemantauan? Seharusnya ditampilkan di baris terakhir yang diterima dari surat.

— mailq

Received: from localhost.localdomain ([127.0.0.1])         by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024)         with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>;         Sat,  8 Oct 2011 02:58:39 +1300 (NZDT)

— James Carppe

Dan crontab saya:

11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null   47 5 * * 7 /usr/sbin/sa-update.sh   2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover'   43 11 * * * /usr/bin/cron-dccd   27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh   */6 * * * * /usr/sbin/clamd-status.sh

— James Carppe

Oh Boy. Jadi, saya menemukan jawabannya. Ternyata itu adalah skrip Nagios yang memeriksa apakah amavis berjalan, dan yang lebih penting untuk masalah khusus ini, memeriksa apakah mesin AV berfungsi ... dengan mengirimkannya virus EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… adalah skrip yang dipertanyakan apakah ada yang tertarik. Terima kasih untuk semua yang mencoba membantu, Anda pasti membantu saya memecahkannya!

— James Carppe

Jawaban:

Masalahnya adalah pengaturan Amavis Anda.

Tujuan karantina Anda tampaknya adalah alamat surat. Jadi Amavis menyuntikkan surat virus kembali ke Postfix untuk dikirim ke alamat itu. Postfix sekarang memutuskan untuk memindai surat terlebih dahulu dan mendelegasikan ke Amavis. Amavis mengenali virus dan mencoba untuk mengkarantina dengan mengirimkan ke alamat surat karantina. Jadi ...

Anda mendapatkan lingkaran setan, kan? Entah karantina surat ke folder atau basis data, atau tentukan pengecualian untuk tidak memindai virus karantina.

Edit ke edit kuesioner

Sekarang Pesan-ID berbeda. Artinya mereka adalah pesan yang berbeda dengan (secara mengejutkan) konten yang sama. Ini membuat saya percaya bahwa itu adalah pekerjaan cron atau semacam perangkat lunak pemantauan yang terus mengirimkan konten yang sama (bukan surat identik).

Dan pada akhirnya James menemukan bahwa perangkat lunak pemantauan Nagios-nya terus mengirim ...

— mailq
sumber

Saya hanya mengubah tujuan karantina menjadi kotak surat hari ini, dan masalah ini telah terjadi selama 4 bulan. Pengaturan sebelumnya adalah $ virus_quarantine_to = 'virus-karantina', yang menyimpannya di / var / lib / amavis / virusmails. Ketika ini diatur masalah masih terjadi.

— James Carppe

Selain itu, ini hanya terjadi pada pesan khusus ini. Virus nyata lainnya yang masuk pada email standar untuk pengguna diambil dan dihapus tanpa masalah.

— James Carppe

Oh Boy.

Jadi, saya menemukan jawabannya. Ternyata itu adalah skrip Nagios yang memeriksa apakah amavis berjalan, dan yang lebih penting untuk masalah khusus ini, memeriksa apakah mesin AV berfungsi ... dengan mengirimkannya virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details adalah skrip yang dipertanyakan jika ada yang tertarik.

Terima kasih untuk semua yang mencoba membantu, Anda pasti membantu saya memecahkannya!

— James Carppe
sumber

Itu mungkin terjadi, tergantung pada pengaturan postfix dan amavis Anda. Jika postfix mencoba mengirimnya ke suatu tempat dan amavis memotong pengiriman (seperti yang ditunjukkan pada baris terakhir ketiga), pesan akan tetap berada dalam antrian. Biasanya, antrian akan dihapus setelah 72 jam dari tidak mengirimnya, tetapi jika amavis juga memblokir penghapusan pesan (karena itu adalah akses lain ke file virii), pesan tidak pernah keluar dari antrian.

Apakah Anda sudah mencoba menghapus send-queue untuk pesan ini atau bahkan alamat melalui alat administrasi postfix?

— Lars
sumber

Ya, membersihkan antrian beberapa kali (postsuper -d SEMUA), bersama dengan beberapa reboot sekarang. Saya tidak dapat menemukan jejak pesan di mana pun itu sebabnya saya sangat bingung dari mana itu berasal. Jika ada bantuan, saya menggunakan www200.pair.com/mecham/spam/spamfilter20110303.html sebagai panduan untuk mengatur semuanya. Banyak info di sana.

— James Carppe