Postfix envoie et reçoit le même e-mail toutes les 5 minutes pendant plus de 4 mois

12

En juin, je me suis envoyé la signature du test EICAR pour m'assurer que ma configuration postfix / amavis / spamassassin, etc. fonctionnait correctement. Je ne l'avais pas remarqué à l'époque, mais cela a en quelque sorte créé une déchirure dans le continuum espace-temps ou quelque chose par lequel toutes les 5 minutes le serveur de messagerie l'envoie à lui-même, encore et encore.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Je suis tombé sur le problème lorsque j'ai changé la configuration aujourd'hui pour acheminer le courrier infecté par un virus vers l'adresse [email protected] plutôt que vers des fichiers sur le serveur de spam. Il semble que cela ait été renvoyé toutes les 5 minutes depuis quatre mois maintenant.

J'ai semblé l'arrêter brièvement après avoir redémarré le serveur de spam à 19 heures ce soir et j'ai pensé qu'il avait résolu, mais à 20 h 16, j'ai de nouveau reçu le message, et toutes les 5 minutes depuis. Ça commence à me rendre un peu fou.

Aidez-moi?

Modifier: lors du retour de la configuration au stockage des virus sur le serveur plutôt que dans une boîte aux lettres, le problème persiste:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Juste au lieu des e-mails, je reçois des fichiers toutes les 5 minutes.

Edit 2: Nouveaux journaux complets après la réversion de la configuration et les redémarrages de Postfix et Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email postfix malware amavis James Carppe
la source
Nouvelle sortie de journal après ajout des modifications.
James Carppe
Mais vous voyez, c'est un message différent. Message-ID et mail_id différents. La question demeure donc: qui / quoi utilise SMTP à partir de votre machine locale pour livrer ce courrier? Un travail cron? Logiciel de surveillance? Doit apparaître dans la dernière ligne reçue du courrier.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <[email protected]>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe
Et ma crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe
2
Oh mec. Alors, je l'ai compris. Il s'avère que c'était un script Nagios qui vérifie si amavis est en cours d'exécution, et plus important encore pour ce problème particulier, vérifie que le moteur AV fonctionne ... en lui envoyant le virus EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… est le script en question si quelqu'un est intéressé. Merci à tous ceux qui ont essayé de vous aider, vous m'avez certainement aidé à tout comprendre!
James Carppe

Réponses:

12

Le problème est votre configuration Amavis.

Votre destination de quarantaine semble être une adresse e-mail. Amavis réinjecte donc le courrier viral dans Postfix pour être livré à cette adresse. Postfix décide maintenant de scanner le courrier en premier et délègue à Amavis. Amavis reconnaît le virus et essaie de le mettre en quarantaine en le livrant à l'adresse e-mail de quarantaine. Donc ...

Vous obtenez le cercle vicieux, non? Vous pouvez soit mettre les e-mails de quarantaine dans un dossier ou une base de données, soit définir une exception pour ne pas analyser les e-mails de quarantaine à la recherche de virus.

Modifier pour modifier le questionneur

Maintenant, les ID de message sont différents. Ce qui signifie que ce sont des messages différents avec (étonnamment) le même contenu. Cela me fait croire que c'est soit un travail cron, soit une sorte de logiciel de surveillance qui continue d'envoyer le même contenu (pas le même courrier).

Et à la fin, James a découvert que son logiciel de surveillance Nagios continue d'envoyer ...

mailq
la source
1
Je n'ai changé la destination de la quarantaine qu'en boîte aux lettres aujourd'hui, et ce problème se produit depuis 4 mois. Le paramètre précédent était $ virus_quarantine_to = 'virus-quarantine', qui les stocke dans / var / lib / amavis / virusmails. Lorsque cela a été réglé, le problème se posait toujours.
James Carppe
1
En outre, cela semble se produire uniquement avec ce message particulier. D'autres vrais virus qui arrivent sur les e-mails standard aux utilisateurs sont détectés et supprimés sans problème.
James Carppe
5

Oh mec.

Alors, je l'ai compris. Il s'avère que c'était un script Nagios qui vérifie si amavis est en cours d'exécution, et plus important encore pour ce problème particulier, vérifie que le moteur AV fonctionne ... en lui envoyant le virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details est le script en question si quelqu'un est intéressé.

Merci à tous ceux qui ont essayé de vous aider, vous m'avez certainement aidé à tout comprendre!

James Carppe
la source
1

Cela peut être le cas, selon votre configuration de postfix et amavis. Si postfix essaie de l'envoyer quelque part et que amavis intercepte l'envoi (comme indiqué dans l'avant-dernière ligne), le message restera dans la file d'attente. Normalement, la file d'attente serait supprimée après 72h de non-envoi, mais si amavis bloque également la suppression du message (car il s'agit d'un autre accès à un fichier virii), le message ne sort jamais de la file d'attente.

Avez-vous déjà essayé de supprimer simplement la file d'attente d'envoi pour ce message ou même l' adresse via les outils d'administration de postfix?

Lars
la source
Oui, effacé la file d'attente plusieurs fois (postsuper -d ALL), avec plusieurs redémarrages maintenant. Je ne trouve aucune trace du message n'importe où, c'est pourquoi je suis si confus quant à sa provenance. Si c'est une aide, j'ai utilisé www200.pair.com/mecham/spam/spamfilter20110303.html comme guide pour tout configurer. Beaucoup d'informations là-bas cependant.
James Carppe