13 votes

vossman77 avatar

Postfix envoie et reçoit le même e-mail toutes les 5 minutes depuis 4+ mois

Demandé el 7 de Octobre, 2011
Quand la question a-t-elle été
1871 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

En juin dernier, je me suis envoyé la signature de test EICAR pour m'assurer que ma configuration postfix/amavis/spamassassin etc. fonctionnait correctement. Je n'ai pas remarqué à l'époque, mais cela a créé une déchirure dans le continuum espace-temps ou quelque chose comme ça, ce qui fait que toutes les 5 minutes, le serveur de messagerie se l'envoie à lui-même, encore et encore.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Je suis tombé sur le problème lorsque j'ai modifié la configuration aujourd'hui pour acheminer le courrier infecté par un virus vers l'adresse virii@mydomain.com plutôt que vers les fichiers du serveur de spam. Il semble que cela se répète toutes les 5 minutes depuis 4 mois maintenant.

J'ai semblé l'arrêter brièvement après avoir redémarré le serveur de spam à 19h ce soir et j'ai pensé que c'était résolu, mais à 20h16, j'ai reçu le message à nouveau, et toutes les 5 minutes depuis. Cela commence à me rendre légèrement fou.

Aide ?

Edit : Après avoir modifié la configuration afin de stocker les virus sur le serveur plutôt que dans une boîte aux lettres, le problème persiste :

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Juste au lieu d'e-mails, je reçois des fichiers, toutes les 5 minutes.

Edit 2 : Nouveaux journaux complets après inversion de la configuration et redémarrage de Postfix et Amavis :

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
Demandé el 7 de Octobre, 2011 par vossman77

Réponses

Trop de publicités?

12voto

mailq avatar
mailq Points 16792

Le problème est votre configuration d'Amavis.

Votre destination de quarantaine semble être une adresse mail. Amavis réinjecte donc le courrier viral dans Postfix pour qu'il soit livré à cette adresse. Postfix décide alors d'analyser le courrier en premier et le délègue à Amavis. Amavis reconnaît le virus et tente de le mettre en quarantaine en le délivrant à l'adresse de quarantaine. Ainsi ...

Vous comprenez le cercle vicieux, n'est-ce pas ? Il faut soit mettre les courriers en quarantaine dans un dossier ou une base de données, soit définir une exception pour ne pas analyser les courriers en quarantaine à la recherche de virus.

Modifier à l'édition de l'auteur de la question

Maintenant, les identifiants des messages sont différents. Cela signifie que ce sont des messages différents avec (étonnamment) le même contenu. Cela me fait penser qu'il s'agit soit d'une tâche cron, soit d'un logiciel de surveillance qui continue à envoyer le même contenu (pas le même message).

Et à la fin, James a découvert que son logiciel de surveillance Nagios continue d'envoyer ...

Répondu el 7 de Octobre, 2011 par mailq (16792 Points )

5voto

vossman77 avatar
vossman77 Points 179

Oh là là.

Alors, j'ai compris. Il s'agit d'un script de Nagios qui vérifie si amavis est en cours d'exécution, et plus important encore pour ce problème particulier, vérifie que le moteur AV fonctionne... en lui envoyant le virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details est le script en question si quelqu'un est intéressé.

Merci à tous ceux qui ont essayé de m'aider, vous m'avez vraiment aidé à comprendre tout ça !

Répondu el 8 de Octobre, 2011 par vossman77 (179 Points )

1voto

cocoafan avatar
cocoafan Points 2766

Cela peut être le cas, en fonction de votre configuration de postfix et amavis. Si postfix essaie de l'envoyer quelque part et qu'amavis intercepte l'envoi (comme indiqué dans la troisième dernière ligne), le message restera dans la file d'attente. Normalement, la file d'attente devrait être supprimée après 72h de non-envoi, mais si amavis bloque également la suppression du message (car il s'agit d'un autre accès à un fichier virii), le message ne sort jamais de la file d'attente.

Avez-vous déjà essayé de supprimer simplement la file d'attente d'envoi de ce message ou même adresse via les outils d'administration de postfix ?

Répondu el 7 de Octobre, 2011 par cocoafan (2766 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X