Postfix每5分钟发送和接收同一封电子邮件,持续4个月以上

12

早在六月,我给自己发送了EICAR测试签名,以确保我的postfix / amavis / spamassassin等设置正常运行。当时我没有注意到,但是这以某种方式在时空连续性中造成了撕裂,或者某种程度上使邮件服务器每隔5分钟不断地将其发送给自己。

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

我今天更改配置以将感染病毒的邮件路由到virii@mydomain.com地址而不是垃圾邮件服务器上的文件时,偶然发现了这个问题。看来这已经每隔5分钟重新发送了四个月。

今晚晚上7点重新启动垃圾邮件服务器后,我似乎暂时停止了运行,并认为它已解决,但在晚上8:16,我又收到了此消息,此后每隔5分钟。它开始让我有点发疯。

救命?

编辑:在将配置更改回将病毒存储在服务器而不是邮箱中时,问题仍然存在:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

每隔5分钟,我会收到文件而不是电子邮件。

编辑2:配置恢复并重新启动Postfix和Amavis之后的新完整日志:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email  postfix  malware  amavis 
詹姆斯·卡尔佩
source
添加更改后的新日志输出。
詹姆斯·卡尔佩2011年
但是您会看到这是一条不同的消息。不同的Message-ID和不同的mail_id。因此问题仍然存在:谁/谁使用本地计算机上的SMTP来传递该邮件?计划工作?监控软件?应该显示在邮件的最后收到行中。
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe 2011年
而我的crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe 2011年
2
好家伙。所以,我想通了。事实证明,这是一个Nagios脚本,用于检查amavis是否正在运行,更重要的是,针对此特定问题,通过向其发送EICAR病毒来检查AV引擎是否在工作。 如果有人感兴趣,exchange.nagios.org / directory / Plugins / Anti-2DVirus / Amavis /…是有问题的脚本。感谢所有尝试提供帮助的人,您一定可以帮助我解决所有问题!
詹姆士·卡尔佩,2011年

Answers:

12

问题是您的Amavis设置。

您的隔离目的地似乎是一个邮件地址。因此,Amavis将病毒邮件重新注入Postfix,以传递到该地址。现在,Postfix决定先扫描邮件,然后委派给Amavis。Amavis识别出该病毒,并尝试通过将其传递到隔离邮件地址来对其进行隔离。所以...

你会陷入恶性循环吧?隔离邮件到文件夹或数据库中,或者定义一个例外以不扫描隔离邮件中是否存在病毒。

编辑到提问者的编辑

现在,消息ID有所不同。意味着它们是具有相同内容(令人惊讶)的不同消息。这使我相信,它要么是一项Cron工作,要么是某种监视软件,可以不断发送相同的内容(而不是相同的邮件)。

最终,詹姆斯发现他的Nagios监控软件一直在发送...

邮件
source
1
我今天只将隔离目的地更改为邮箱,并且此问题已经发生了4个月。先前的设置是$ virus_quarantine_to ='virus-quarantine',它将它们存储在/ var / lib / amavis / virusmails中。设置此选项后,问题仍然存在。
詹姆士·卡尔佩,2011年
1
同样,这似乎仅在此特定消息中发生。可以毫无问题地拾取并删除发送给用户的标准电子邮件中的其他真实病毒。
2011年
1

可能是这样,具体取决于您对postfix和amavis的设置。如果postfix尝试将其发送到某个地方,而amavis拦截了发送(如最后三行所示),则该消息将保留在队列中。通常,在不发送队列72小时后将删除该队列,但是如果amavis也阻止该消息的删除(因为这是对virii文件的另一次访问),则该消息永远不会脱离队列。

您是否已经尝试过通过postfix的管理工具简单地删除此消息甚至地址的发送队列?

拉尔斯
source
是的,多次清除了队列(postsuper -d ALL),并且现在多次重启。我在任何地方都找不到消息的踪迹,这就是为什么我对消息的来源感到困惑。如果有帮助,我可以使用www200.pair.com/mecham/spam/spamfilter20110303.html作为设置指南。虽然有很多信息。
詹姆士·卡尔佩2011年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.