Postfix Senden und Empfangen der gleichen E-Mail alle 5 Minuten für mehr als 4 Monate

12

Bereits im Juni habe ich mir die EICAR-Testsignatur geschickt, um sicherzustellen, dass mein Setup für Postfix / Amavis / Spamassassin usw. ordnungsgemäß funktioniert. Ich habe es damals noch nicht bemerkt, aber das hat irgendwie zu einem Riss im Raum-Zeit-Kontinuum geführt oder so, dass der Mailserver es alle 5 Minuten immer wieder an sich selbst sendet.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Ich bin über das Problem gestolpert, als ich heute die Konfiguration so geändert habe, dass mit Viren infizierte E-Mails an die Adresse [email protected] und nicht an Dateien auf dem Spam-Server weitergeleitet werden. Scheint, als würde es seit vier Monaten alle fünf Minuten erneut gesendet.

Ich schien es kurz anzuhalten, nachdem ich den Spam-Server heute Abend um 19:00 Uhr neu gestartet hatte und dachte, dass es behoben ist, aber um 20:16 Uhr bekam ich die Nachricht erneut und seitdem alle 5 Minuten. Es fängt an mich etwas verrückt zu machen.

Hilfe?

Bearbeiten: Wenn Sie die Konfiguration zurück auf das Speichern von Viren auf dem Server anstatt in einem Postfach ändern, wird das Problem fortgesetzt:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Nur anstelle von E-Mails erhalte ich alle 5 Minuten Dateien.

Edit 2: Neue vollständige Protokolle nach Konfigurationsumkehr und Neustart von Postfix und Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email postfix malware amavis James Carppe
quelle
Neue Protokollausgabe nach Änderungen hinzugefügt.
James Carppe
Aber Sie sehen, das ist eine andere Botschaft. Unterschiedliche Message-ID und unterschiedliche mail_id. Die Frage bleibt also: Wer / was verwendet SMTP von Ihrem lokalen Computer, um diese E-Mails zuzustellen? Ein Cron Job? Überwachungssoftware? Sollte in der letzten empfangenen Zeile der Mail angezeigt werden.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <[email protected]>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe
Und meine Crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe
2
Oh Junge. Also habe ich es herausgefunden. Es stellte sich heraus, dass es sich um ein Nagios-Skript handelte, das überprüft, ob amavis ausgeführt wird, und vor allem überprüft, ob die AV-Engine funktioniert, indem es den EICAR-Virus sendet. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… ist das fragliche Skript, wenn sich jemand dafür interessiert. Vielen Dank an alle, die versucht haben zu helfen, Sie haben mir definitiv geholfen, alles herauszufinden!
James Carppe

Antworten:

12

Das Problem ist Ihr Amavis-Setup.

Ihr Quarantäneziel scheint eine E-Mail-Adresse zu sein. Also injiziert Amavis die Viren-Mail zurück in Postfix, um sie an diese Adresse zuzustellen. Postfix beschließt nun, die E-Mails zuerst zu scannen und an Amavis zu delegieren. Amavis erkennt den Virus und versucht, ihn unter Quarantäne zu stellen, indem es ihn an die Quarantäne-E-Mail-Adresse sendet. So ...

Sie haben den Teufelskreis, oder? Entweder Mails in Ordner oder Datenbank unter Quarantäne stellen oder eine Ausnahme definieren, um die Quarantäne-Mails nicht auf Viren zu prüfen.

Bearbeiten zum Bearbeiten des Fragestellers

Nun sind die Message-IDs unterschiedlich. Das heißt, es handelt sich um unterschiedliche Nachrichten mit (überraschenderweise) demselben Inhalt. Dies lässt mich glauben, dass es sich entweder um einen Cron-Job oder eine Art Überwachungssoftware handelt, die weiterhin denselben Inhalt (nicht dieselbe Mail) sendet.

Und am Ende fand James heraus, dass seine Nagios-Überwachungssoftware weiterhin sendet ...

mailq
quelle
1
Ich habe heute nur das Quarantäne-Ziel in ein Postfach geändert, und dieses Problem tritt seit 4 Monaten auf. Die vorherige Einstellung war $ virus_quarantine_to = 'virus-quarantine', wodurch sie in / var / lib / amavis / virusmails gespeichert werden. Als dies eingestellt wurde, trat das Problem immer noch auf.
James Carppe
1
Dies scheint auch nur bei dieser bestimmten Meldung aufzutreten. Andere echte Viren, die in Standard-E-Mails an Benutzer eingehen, werden problemlos erkannt und entfernt.
James Carppe
5

Oh Junge.

Also habe ich es herausgefunden. Es stellte sich heraus, dass es sich um ein Nagios-Skript handelte, das überprüft, ob amavis ausgeführt wird, und vor allem überprüft, ob die AV-Engine funktioniert, indem es den EICAR-Virus sendet.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details ist das fragliche Skript, wenn jemand interessiert ist.

Vielen Dank an alle, die versucht haben zu helfen, Sie haben mir definitiv geholfen, alles herauszufinden!

James Carppe
quelle
1

Dies kann der Fall sein, abhängig von Ihrem Setup von Postfix und Amavis. Wenn Postfix versucht, es irgendwohin zu senden und amavis das Senden abfängt (wie in der drittletzten Zeile angegeben), bleibt die Nachricht in der Warteschlange. Normalerweise wird die Warteschlange nach 72 Stunden gelöscht, nachdem sie nicht gesendet wurde. Wenn jedoch amavis das Löschen der Nachricht blockiert (da dies ein weiterer Zugriff auf eine Virii-Datei ist), wird die Nachricht niemals aus der Warteschlange entfernt.

Haben Sie bereits versucht, die Sendewarteschlange für diese Nachricht oder Adresse einfach über die Verwaltungstools von postfix zu löschen?

Lars
quelle
Ja, die Warteschlange wurde mehrmals geleert (postsuper -d ALL), zusammen mit mehreren Neustarts. Ich kann nirgendwo eine Spur der Nachricht finden, weshalb ich so verwirrt bin, woher sie kommt. Wenn es Hilfe gibt, habe ich www200.pair.com/mecham/spam/spamfilter20110303.html als Leitfaden für die Einrichtung verwendet. Viele Infos gibt es allerdings.
James Carppe