4か月以上、5分ごとに同じ電子メールを送受信するPostfix

6月にEICARテスト署名を送信して、postfix / amavis / spamassassinなどのセットアップが正常に機能することを確認しました。当時は気づいていませんでしたが、これはどういうわけか、時空の連続性や、メールサーバーが5分ごとに繰り返し送信する何かに涙を流しました。

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

今日、ウイルスに感染したメールをスパムサーバー上のファイルではなくvirii@mydomain.comアドレスにルーティングするように構成を変更したときに、問題に遭遇しました。これは4か月間5分ごとに再送信されているようです。

今夜午後7時にスパムサーバーを再起動した後、一時的に停止したようで、解決したと思いましたが、午後8時16分に再びメッセージを受け取り、それから5分ごとにメッセージを受け取りました。それは私を少し狂気に駆り立て始めています。

助けて？

編集：メールボックスではなくサーバーにウイルスを保存するように構成を変更すると、問題は継続します：

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

電子メールの代わりに、5分ごとにファイルを取得します。

編集2：設定の復帰とPostfixとAmavisの再起動後の新しい完全ログ：

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

— ジェームズ・カーペ
ソース

変更が追加された後の新しいログ出力。

— ジェームズカープ

しかし、これは別のメッセージであることがわかります。異なるメッセージIDと異なるmail_id。したがって、疑問は残ります。ローカルマシンのSMTPを使用して誰がそのメールを配信するのか。cronジョブ？監視ソフトウェア？メールの最後の受信行に表示される必要があります。

— -mailq

Received: from localhost.localdomain ([127.0.0.1])         by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024)         with ESMTP id OG7XNLVAihsQ for <spambin@mydomain.com>;         Sat,  8 Oct 2011 02:58:39 +1300 (NZDT)

— ジェームスカープ

そして、私のcrontab：

11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null   47 5 * * 7 /usr/sbin/sa-update.sh   2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover'   43 11 * * * /usr/bin/cron-dccd   27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh   */6 * * * * /usr/sbin/clamd-status.sh

— ジェームズカープ

ああ少年。だから、私はそれを理解しました。amavisが実行されているかどうかを確認するNagiosスクリプトであり、さらに重要なこととして、この特定の問題については、EICARウイルスを送信してAVエンジンが動作していることを確認しました。 exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/…は、誰かが興味を持っている場合、問題のスクリプトです。助けようとしたすべての人に感謝します、あなたは間違いなくそれをすべて理解するのを助けました！

— ジェームス・カープ

回答:

問題はAmavisのセットアップです。

隔離先はメールアドレスのようです。そのため、AmavisはウイルスメールをPostfixに注入し、そのアドレスに配信します。Postfixは、最初にメールをスキャンし、Amavisに委任することにしました。Amavisはウイルスを認識し、隔離メールアドレスに配信することで隔離を試みます。そう ...

悪循環に陥りますよね？フォルダーまたはデータベースにメールを隔離するか、隔離メールのウイルスをスキャンしないように例外を定義します。

編集 questioneerの編集に

現在、メッセージIDは異なります。意味は、（驚くべきことに）同じ内容の異なるメッセージです。これにより、同じコンテンツ（同一のメールではない）の送信を継続するのは、cronジョブまたは何らかの監視ソフトウェアのいずれかであると思われます。

そして最後に、ジェームズは彼のNagios監視ソフトウェアが送信し続けることを発見しました...

— mailq
ソース

今日、隔離先をメールボックスに変更しただけで、この問題は4か月間発生しています。以前の設定は$ virus_quarantine_to = 'virus-quarantine'で、/ var / lib / amavis / virusmailsに保存されていました。これが設定されたとき、問題はまだ発生していました。

— ジェームズカープ

また、これはこの特定のメッセージでのみ発生するようです。ユーザーへの標準的な電子メールで受信される他の実際のウイルスは、問題なくピックアップされ、削除されます。

— ジェームズカープ

ああ少年。

だから、私はそれを理解しました。amavisが実行されているかどうかを確認するNagiosスクリプトであり、さらに重要なこととして、この特定の問題については、EICARウイルスを送信してAVエンジンが動作していることを確認しました。

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/detailsは、誰かが興味を持っている場合に問題のスクリプトです。

助けようとしたすべての人に感謝します、あなたは間違いなくそれをすべて理解するのを助けました！

— ジェームズ・カーペ
ソース

postfixとamavisの設定に応じて、そうなる場合があります。postfixがどこかに送信しようとして、amavisが送信をインターセプトした場合（最後の3行目に示されているように）、メッセージはキューにとどまります。通常、キューは送信しない72時間後に削除されますが、amavisがメッセージの削除もブロックする場合（viriiファイルへの別のアクセスであるため）、メッセージはキューから削除されません。

このメッセージの送信キューを削除するだけでなく、postfixの管理ツールを使用してアドレスを削除しようとしましたか？

— ラース
ソース

ええ、今度は複数回の再起動とともに、キューを複数回クリアしました（postsuper -d ALL）。メッセージの痕跡がどこにも見つからないため、メッセージの送信元が非常に混乱しています。助けがあれば、すべてをセットアップするためのガイドとしてwww200.pair.com/mecham/spam/spamfilter20110303.htmlを使用しました。そこにはたくさんの情報があります。

— ジェームズ・カープ