Bereits im Juni habe ich mir die EICAR-Testsignatur geschickt, um sicherzustellen, dass mein Setup für Postfix / Amavis / Spamassassin usw. ordnungsgemäß funktioniert. Ich habe es damals noch nicht bemerkt, aber das hat irgendwie zu einem Riss im Raum-Zeit-Kontinuum geführt oder so, dass der Mailserver es alle 5 Minuten immer wieder an sich selbst sendet.
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
Ich bin über das Problem gestolpert, als ich heute die Konfiguration so geändert habe, dass mit Viren infizierte E-Mails an die Adresse [email protected] und nicht an Dateien auf dem Spam-Server weitergeleitet werden. Scheint, als würde es seit vier Monaten alle fünf Minuten erneut gesendet.
Ich schien es kurz anzuhalten, nachdem ich den Spam-Server heute Abend um 19:00 Uhr neu gestartet hatte und dachte, dass es behoben ist, aber um 20:16 Uhr bekam ich die Nachricht erneut und seitdem alle 5 Minuten. Es fängt an mich etwas verrückt zu machen.
Hilfe?
Bearbeiten: Wenn Sie die Konfiguration zurück auf das Speichern von Viren auf dem Server anstatt in einem Postfach ändern, wird das Problem fortgesetzt:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
Nur anstelle von E-Mails erhalte ich alle 5 Minuten Dateien.
Edit 2: Neue vollständige Protokolle nach Konfigurationsumkehr und Neustart von Postfix und Amavis:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <[email protected]>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
Antworten:
Das Problem ist Ihr Amavis-Setup.
Ihr Quarantäneziel scheint eine E-Mail-Adresse zu sein. Also injiziert Amavis die Viren-Mail zurück in Postfix, um sie an diese Adresse zuzustellen. Postfix beschließt nun, die E-Mails zuerst zu scannen und an Amavis zu delegieren. Amavis erkennt den Virus und versucht, ihn unter Quarantäne zu stellen, indem es ihn an die Quarantäne-E-Mail-Adresse sendet. So ...
Sie haben den Teufelskreis, oder? Entweder Mails in Ordner oder Datenbank unter Quarantäne stellen oder eine Ausnahme definieren, um die Quarantäne-Mails nicht auf Viren zu prüfen.
Bearbeiten zum Bearbeiten des Fragestellers
Nun sind die Message-IDs unterschiedlich. Das heißt, es handelt sich um unterschiedliche Nachrichten mit (überraschenderweise) demselben Inhalt. Dies lässt mich glauben, dass es sich entweder um einen Cron-Job oder eine Art Überwachungssoftware handelt, die weiterhin denselben Inhalt (nicht dieselbe Mail) sendet.
Und am Ende fand James heraus, dass seine Nagios-Überwachungssoftware weiterhin sendet ...
quelle
Oh Junge.
Also habe ich es herausgefunden. Es stellte sich heraus, dass es sich um ein Nagios-Skript handelte, das überprüft, ob amavis ausgeführt wird, und vor allem überprüft, ob die AV-Engine funktioniert, indem es den EICAR-Virus sendet.
http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details ist das fragliche Skript, wenn jemand interessiert ist.
Vielen Dank an alle, die versucht haben zu helfen, Sie haben mir definitiv geholfen, alles herauszufinden!
quelle
Dies kann der Fall sein, abhängig von Ihrem Setup von Postfix und Amavis. Wenn Postfix versucht, es irgendwohin zu senden und amavis das Senden abfängt (wie in der drittletzten Zeile angegeben), bleibt die Nachricht in der Warteschlange. Normalerweise wird die Warteschlange nach 72 Stunden gelöscht, nachdem sie nicht gesendet wurde. Wenn jedoch amavis das Löschen der Nachricht blockiert (da dies ein weiterer Zugriff auf eine Virii-Datei ist), wird die Nachricht niemals aus der Warteschlange entfernt.
Haben Sie bereits versucht, die Sendewarteschlange für diese Nachricht oder Adresse einfach über die Verwaltungstools von postfix zu löschen?
quelle