Postfixは、4か月以上5分ごとに同じ電子メールを送受信します
6月に、postfix/amavis/spamassassinなどのセットアップが正しく機能していることを確認するためにEICARテスト署名を自分に送信しました。当時は気づかなかったのですが、これがどういうわけか時空の連続性に涙を流したり、5分ごとにメールサーバーが何度も何度も自分自身に送信したりしていました。
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
今日、ウイルスに感染したメールをスパムサーバー上のファイルではなく[email protected]アドレスにルーティングするように構成を変更したときに、この問題に遭遇しました。これは、4か月間5分ごとに再送信されているようです。
今夜の午後7時にスパムサーバーを再起動した後、一時的に停止したようで、解決したと思いましたが、午後8時16分に再びメッセージが表示され、それ以降5分ごとにメッセージが届きました。それは私を少し狂気に駆り立て始めています。
助けて?
編集:構成をメールボックスではなくサーバーにウイルスを保存するように戻すと、問題は続行します。
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
電子メールの代わりに、5分ごとにファイルを受け取ります。
編集2:設定の復帰とPostfixとAmavisの再起動後の新しい完全なログ:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
ああ少年。
それで、私はそれを理解しました。 amavisが実行されているかどうかをチェックし、さらに重要なことに、この特定の問題については、EVエンジンが動作していることをチェックするのはNagiosスクリプトであることが判明しました... EICARウイルスを送信します。
http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details は、誰かが興味を持っている場合に問題となるスクリプトです。
助けてくれたすべての人に感謝します、あなたは間違いなく私がそれをすべて理解するのを助けました!
問題はAmavisの設定です。
検疫先はメールアドレスのようです。そのため、AmavisはウイルスメールをPostfixに送り返し、そのアドレスに配信します。 Postfixは最初にメールをスキャンし、Amavisに委任することを決定しました。 Amavisはウイルスを認識し、検疫メールアドレスに配信することでウイルスの検疫を試みます。そう ...
悪循環になりますよね?メールをフォルダまたはデータベースに隔離するか、隔離メールをスキャンしてウイルスを検出しないように例外を定義します。
編集アンケートの編集
これで、メッセージIDが異なります。つまり、それらは(驚くべきことに)同じ内容の異なるメッセージです。これにより、同じコンテンツ(同じメールではない)を送信し続けるのは、cronジョブまたはある種の監視ソフトウェアであると私は信じています。
そして最後に、ジェームズは彼のNagios監視ソフトウェアが送信し続けることを発見しました...
Postfixとamavisの設定によっては、そうなる場合があります。 postfixがそれをどこかに送信しようとし、amavisが送信を傍受した場合(最後から3行目に示されているように)、メッセージはキューに残ります。通常、キューは送信されなかった72時間後に削除されますが、amavisがメッセージの削除もブロックした場合(viriiファイルへの別のアクセスであるため)、メッセージがキューから出ることはありません。
このメッセージのsend-queueを削除したり、postfixの管理ツールを使用して address を削除したりしましたか?