Postfix invia e riceve la stessa e-mail ogni 5 minuti per 4+ mesi

12

A giugno mi sono inviato la firma del test EICAR per assicurarmi che la mia installazione postfix / amavis / spamassassin ecc. Funzionasse correttamente. Non me ne accorsi in quel momento, ma questo in qualche modo creò una lacrima nel continuum spazio-temporale o qualcosa per cui ogni 5 minuti il ​​server di posta lo invia a se stesso, ancora e ancora.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Mi sono imbattuto nel problema quando ho cambiato la configurazione oggi per instradare la posta infetta da virus all'indirizzo virii@mydomain.com anziché ai file sul server spam. Sembra che questo sia stato rispedendo ogni 5 minuti per quattro mesi ormai.

Mi è sembrato di fermarlo brevemente dopo aver riavviato il server di spam alle 19:00 di stasera e ho pensato che fosse risolto, ma alle 20:16 ho ricevuto di nuovo il messaggio, e ogni 5 minuti da allora. Sta iniziando a farmi diventare un po 'pazzo.

Aiuto?

Modifica: quando si modifica la configurazione per archiviare i virus sul server anziché in una cassetta postale, il problema persiste:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Solo al posto delle e-mail ricevo file, ogni 5 minuti.

Modifica 2: Nuovi registri completi dopo l'inversione della configurazione e il riavvio di Postfix e Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email  postfix  malware  amavis 
James Carppe
fonte
Nuovo output del registro dopo l'aggiunta delle modifiche.
James Carppe,
Ma vedi che questo è un messaggio diverso. ID messaggio diverso e mail_id diverso. Quindi la domanda rimane: chi / cosa usa SMTP dal tuo computer locale per consegnare quella posta? Un lavoro cron? Software di monitoraggio? Dovrebbe essere mostrato nell'ultima riga della posta ricevuta.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe,
E il mio crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe,
2
Oh ragazzo. Quindi l'ho capito. Si è scoperto che era uno script Nagios che controlla se l'amavis è in esecuzione e, cosa ancora più importante per questo particolare problema, controlla che il motore AV funzioni ... inviandogli il virus EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… è lo script in questione se qualcuno è interessato. Grazie a tutti quelli che hanno cercato di aiutare, mi hai sicuramente aiutato a capire tutto!
James Carppe,

Risposte:

12

Il problema è la configurazione di Amavis.

La destinazione di quarantena sembra essere un indirizzo di posta. Quindi Amavis inietta nuovamente la posta del virus in Postfix per essere recapitata a quell'indirizzo. Postfix ora decide di scansionare prima la posta e delega ad Amavis. Amavis riconosce il virus e cerca di metterlo in quarantena recapitando all'indirizzo di posta in quarantena. Così ...

Hai il circolo vizioso, vero? Metti in quarantena i messaggi nella cartella o nel database oppure definisci un'eccezione per non eseguire la scansione dei messaggi in quarantena alla ricerca di virus.

Modifica per la modifica del richiedente

Ora gli ID messaggio sono diversi. Significa che sono messaggi diversi con (sorprendentemente) lo stesso contenuto. Questo mi fa credere che sia un lavoro cron o un qualche tipo di software di monitoraggio che continua a inviare lo stesso contenuto (non la stessa posta).

E alla fine James ha scoperto che il suo software di monitoraggio Nagios continua a inviare ...

mailq
fonte
1
Oggi ho cambiato la destinazione di quarantena in una cassetta postale e questo problema si verifica da 4 mesi. L'impostazione precedente era $ virus_quarantine_to = 'virus-quarantine', che li memorizza in / var / lib / amavis / virusmails. Quando è stato impostato, il problema si stava ancora verificando.
James Carppe,
1
Inoltre, questo sembra verificarsi solo con questo particolare messaggio. Altri virus reali che arrivano agli utenti di posta elettronica standard vengono rilevati e rimossi senza problemi.
James Carppe,
5

Oh ragazzo.

Quindi l'ho capito. Si è scoperto che era uno script Nagios che controlla se l'amavis è in esecuzione e, cosa ancora più importante per questo particolare problema, controlla che il motore AV funzioni ... inviandogli il virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details è lo script in questione se qualcuno è interessato.

Grazie a tutti quelli che hanno cercato di aiutare, mi hai sicuramente aiutato a capire tutto!

James Carppe
fonte
1

Questo può essere il caso, a seconda della configurazione di postfix e amavis. Se postfix prova a inviarlo da qualche parte e amavis intercetta l'invio (come indicato nell'ultima riga), il messaggio rimarrà in coda. Normalmente, la coda verrebbe eliminata dopo 72 ore di non invio, ma se amavis blocca anche la cancellazione del messaggio (in quanto si tratta di un altro accesso a un file virii), il messaggio non esce mai dalla coda.

Hai già provato semplicemente a eliminare la coda di invio per questo messaggio o addirittura l' indirizzo tramite gli strumenti amministrativi di postfix?

Lars
fonte
Sì, ho cancellato la coda più volte (postsuper -d ALL), insieme a più riavvii ora. Non riesco a trovare alcuna traccia del messaggio da nessuna parte ed è per questo che sono così confuso da dove proviene. Se è di aiuto, ho usato www200.pair.com/mecham/spam/spamfilter20110303.html come guida per l'impostazione di tutto. Molte informazioni lì però.
James Carppe,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.