4+ महीनों के लिए हर 5 मिनट में एक ही ई-मेल भेजना और प्राप्त करना पोस्टफिक्स


12

जून में वापस मैंने अपने आप को EICAR परीक्षण हस्ताक्षर भेजा, यह सुनिश्चित करने के लिए कि मेरे पोस्टफिक्स / अमाविस / स्पैमसैसिन आदि सेटअप ठीक से काम कर रहे थे। मुझे उस समय ध्यान नहीं आया, लेकिन इसने किसी तरह से स्पेस-टाइम कॉन्टीनम या कुछ ऐसा बना दिया जिससे हर 5 मिनट में मेल सर्वर इसे खुद को भेजता है, बार-बार।

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

जब मैंने स्पैम सर्वर पर फ़ाइलों के बजाय virii@mydomain.com पते पर वायरस से संक्रमित मेल को रूट करने के लिए कॉन्फ़िगरेशन को बदला तो मैं इस मुद्दे पर लड़खड़ा गया। ऐसा लगता है कि अब चार महीनों के लिए हर 5 मिनट में फिर से भेज रहा है।

मैं आज शाम 7 बजे स्पैम सर्वर को रिबूट करने के बाद संक्षेप में इसे बंद कर रहा था और सोचा था कि यह हल हो जाएगा, लेकिन 8:16 बजे मुझे फिर से संदेश मिला, और हर 5 मिनट के बाद। यह मुझे थोड़ा पागल ड्राइव शुरू कर रहा है।

मदद?

संपादित करें: मेलबॉक्स के बजाय सर्वर पर स्टोर करने वाले वायरस पर कॉन्फ़िगरेशन को वापस बदलने पर, समस्या जारी है:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

ई-मेल के बजाय मुझे हर 5 मिनट में फाइलें मिल जाती हैं।

संपादित करें 2: पोस्टफ़िक्स और अमाविस के विन्यास उलट और पुनरारंभ होने के बाद नए पूर्ण लॉग:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

जोड़े गए परिवर्तनों के बाद नया लॉग आउटपुट।
जेम्स कार्पे

लेकिन आप देखिए यह एक अलग संदेश है। विभिन्न संदेश-आईडी और अलग-अलग mail_id। तो सवाल यह है कि कौन / क्या उस मेल को डिलीवर करने के लिए आपके स्थानीय मशीन से एसएमटीपी का उपयोग करता है? एक क्रॉन जॉब? सॉफ्टवेयर की निगरानी? मेल की अंतिम प्राप्त लाइन में दिखाया जाना चाहिए।
13

Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
जेम्स कार्पे 14

और मेरा 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
क्रॉस्टैब

2
ओह यार। इसलिए, मैंने इसका पता लगा लिया। पता चलता है कि यह एक नागाओस लिपि थी जो यह जांचती है कि क्या अमाविस चल रहा है, और इस विशेष मुद्दे के लिए अधिक महत्वपूर्ण बात यह है कि एवी इंजन काम कर रहा है ... यह EICAR वायरस भेजकर जांचता है। exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… यदि किसी की रुचि है, तो प्रश्न में स्क्रिप्ट है। उन सभी को धन्यवाद, जिन्होंने मदद करने की कोशिश की, आपने निश्चित रूप से मुझे यह पता लगाने में मदद की!
जेम्स कार्पे

जवाबों:


12

समस्या आपकी अमावि सेटअप है।

आपका संगरोध गंतव्य एक मेल पता प्रतीत होता है। तो अमाविस वायरस मेल को पोस्टफिक्स में वापस उस पते पर पहुंचाता है। अब पोस्टफिक्स पहले मेल को स्कैन करने का फैसला करता है और अमाविस को सौंपता है। अमाविस वायरस को पहचानता है और इसे संगरोध मेल पते पर भेजकर इसे बुझाने की कोशिश करता है। इसलिए ...

आप शातिर सर्कल प्राप्त करते हैं, है ना? या तो फ़ोल्डर या डेटाबेस में संगरोध मेल, या वायरस के लिए संगरोध मेल को स्कैन नहीं करने के लिए एक अपवाद को परिभाषित।

संपादित questioneer के संपादित करने के लिए

अब मैसेज-आईडी अलग हैं। मतलब वे एक ही सामग्री के साथ (आश्चर्यजनक रूप से) अलग संदेश हैं। यह मुझे विश्वास दिलाता है कि यह या तो क्रोन जॉब है या किसी तरह का मॉनिटरिंग सॉफ्टवेयर है जो समान सामग्री (समान मेल नहीं) भेजता रहता है।

और अंत में जेम्स को पता चला कि उसका नागिओस निगरानी सॉफ्टवेयर भेजता रहता है ...


1
मैंने केवल एक मेलबॉक्स में संगरोध गंतव्य को बदल दिया है, और यह समस्या 4 महीने से हो रही है। पिछली सेटिंग $ virus_quarantine_to = 'virus-quarantine' थी, जो उन्हें / var / lib / amavis / virusmails में संग्रहीत करती है। जब यह निर्धारित किया गया था तब भी समस्या उत्पन्न हो रही थी।
जेम्स कार्पे

1
इसके अलावा, यह केवल इस विशेष संदेश के साथ होता है। अन्य वास्तविक वायरस जो उपयोगकर्ताओं को मानक ई-मेल पर आ रहे हैं, उन्हें उठाया जाता है और समस्या के बिना हटा दिया जाता है।
जेम्स कार्पे

5

ओह यार।

इसलिए, मैंने इसका पता लगा लिया। पता चलता है कि यह एक नागियोस लिपि थी जो यह जांचती है कि क्या अमाविस चल रहा है, और इससे भी महत्वपूर्ण बात यह है कि एवी इंजन काम कर रहा है ... यह EICAR वायरस भेजकर जांचता है।

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details यदि किसी की रुचि है तो प्रश्न में स्क्रिप्ट है।

उन सभी को धन्यवाद, जिन्होंने मदद करने की कोशिश की, आपने निश्चित रूप से मुझे यह पता लगाने में मदद की!


1

यह मामला हो सकता है, आपके पोस्टफिक्स और अमाविस के सेटअप पर निर्भर करता है। यदि पोस्टफिक्स इसे कहीं भेजने की कोशिश करता है और अमाविस भेजने को स्वीकार करता है (जैसा कि तीसरी अंतिम पंक्ति में इंगित किया गया है), तो संदेश कतार में रहेगा। आम तौर पर, यह नहीं भेजने के 72 घंटों के बाद कतार को हटा दिया जाएगा, लेकिन अगर अमाविस भी संदेश को नष्ट कर देता है (जैसा कि यह virii-file की एक और पहुंच है), संदेश कतार से बाहर कभी नहीं निकलता है।

क्या आपने पहले ही इस संदेश के लिए भेजने की कतार हटाने या पोस्टफ़िक्स के व्यवस्थापक उपकरणों के माध्यम से पता करने की कोशिश की थी?


हाँ, अब कई बार रिबूट के साथ-साथ कतार को कई बार साफ़ किया गया है (सभी पोस्ट -dd-ALL)। मुझे कहीं भी संदेश का कोई निशान नहीं मिल रहा है यही कारण है कि मैं इतना भ्रमित हूं कि यह कहां से आ रहा है। यदि यह कोई मदद करता है, तो मैंने इसे स्थापित करने के लिए मार्गदर्शिका के रूप में www200.pair.com/mecham/spam/spamfilter20110303.html का उपयोग किया । जानकारी के बहुत यद्यपि।
जेम्स कारप्पे
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.