4 개월 이상 5 분마다 동일한 전자 메일 보내기 및 받기

12

6 월에 나는 postfix / amavis / spamassassin 등 설정이 제대로 작동하는지 확인하기 위해 EICAR 테스트 서명을 보냈습니다. 당시에는 눈치 채지 못했지만 이로 인해 시공간 연속체 또는 메일 서버가 5 분마다 반복해서 전송하는 무언가가 찢어졌습니다.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

바이러스에 감염된 메일을 스팸 서버의 파일이 아닌 virii@mydomain.com 주소로 라우팅하도록 오늘 구성을 변경했을 때 문제가 발생했습니다. 현재 4 개월 동안 5 분마다 다시 전송되는 것 같습니다.

오늘 밤 오후 7시에 스팸 서버를 재부팅 한 후 잠깐 중단 된 것으로 보였지만 해결되었다고 생각했지만 오후 8시 16 분에 다시 5 분마다 메시지를 받았습니다. 나를 약간 미치게 시작하고 있습니다.

도움?

편집 : 사서함이 아닌 서버에 바이러스를 저장하도록 구성을 다시 변경하면 문제가 계속됩니다.

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

이메일 대신 5 분마다 파일을받습니다.

편집 2 : 구성 수정 후 Postfix 및 Amavis를 다시 시작한 후 새 전체 로그 편집 :

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email  postfix  malware  amavis 
제임스 카프
소스
변경 사항이 추가 된 후 새 로그 출력.
James Carppe
그러나 이것은 다른 메시지입니다. 다른 Message-ID와 다른 mail_id 따라서 질문은 여전히 ​​남아 있습니다. 로컬 시스템의 SMTP를 사용하여 누가 그 메일을 배달합니까? 크론 직업? 모니터링 소프트웨어? 메일의 마지막 수신 라인에 표시되어야합니다.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe
그리고 내 crontab : 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe
2
오 소년. 그래서 알아 냈습니다. Amavis가 실행 중인지 여부를 확인하는 Nagios 스크립트였으며,이 특정 문제의 경우 AV 엔진이 EICAR 바이러스를 전송하여 작동하는지 확인합니다. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… 는 관심있는 사람이 있으면 문제가되는 스크립트입니다. 도와 주신 분들께 감사드립니다.
James Carppe

답변:

12

문제는 Amavis 설정입니다.

격리 저장소는 메일 주소 인 것 같습니다. 따라서 Amavis는 바이러스 메일을 Postfix에 다시 주입하여 해당 주소로 배달합니다. Postfix는 이제 메일을 먼저 스캔하기로 결정하고 Amavis에 위임합니다. Amavis는 바이러스를 인식하고 검역소 메일 주소로 전송하여 바이러스를 검역소에 보냅니다. 그래서 ...

악순환이 생겼어요? 메일을 폴더 나 데이터베이스로 검역소에 보관하거나 검역소 메일에서 바이러스를 검사하지 않도록 예외를 정의하십시오.

편집 questioneer의 편집에

이제 메시지 ID가 다릅니다. 그것들은 (놀랍게도) 동일한 내용을 가진 다른 메시지임을 의미합니다. 이것은 그것이 cron 작업이거나 동일한 메일이 아닌 동일한 내용을 계속 보내는 일종의 모니터링 소프트웨어라고 생각합니다.

그리고 마지막으로 James는 Nagios 모니터링 소프트웨어가 계속 전송 중임을 알게되었습니다.

mailq
소스
1
검역 대상을 오늘 사서함으로 만 변경했으며이 문제는 4 개월 동안 발생했습니다. 이전 설정은 $ virus_quarantine_to = 'virus-quarantine'으로 / var / lib / amavis / virusmails에 저장됩니다. 이것이 설정되었을 때 문제는 여전히 발생하고있었습니다.
James Carppe
1
또한이 특정 메시지에서만 발생합니다. 사용자에게 표준 전자 메일로 들어오는 다른 실제 바이러스는 문제없이 선택되어 제거됩니다.
James Carppe
1

postfix 및 amavis 설정에 따라 해당 될 수 있습니다. postfix가 어딘가에 그것을 보내려고 시도하고 amavis가 전송을 가로 채면 (마지막 세 번째 줄에 표시), 메시지는 대기열에 남아 있습니다. 일반적으로 대기열은 대기열을 보내지 않은 72 시간 후에 삭제되지만 amavis가 메시지 삭제를 차단하는 경우 (virii 파일에 대한 또 다른 액세스) 메시지는 대기열에서 나오지 않습니다.

이 메시지에 대한 send-queue 또는 postfix의 관리 도구를 통해 주소 를 삭제하려고 했습니까 ?

라스
소스
예, 여러 번의 재부팅과 함께 대기열을 여러 번 지 웠습니다 (postsuper -d ALL). 어디에서나 메시지의 흔적을 찾을 수 없으므로 메시지의 출처에 대해 혼란 스럽습니다. 도움이 필요하면 www200.pair.com/mecham/spam/spamfilter20110303.html 을 모두 설정하는 지침으로 사용했습니다. 그래도 많은 정보가 있습니다.
James Carppe
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.