Postfix enviando y recibiendo el mismo correo electrónico cada 5 minutos por más de 4 meses

12

En junio, me envié la firma de prueba EICAR para asegurarme de que mi configuración postfix / amavis / spamassassin, etc. funcionaba correctamente. No me di cuenta en ese momento, pero esto de alguna manera creó una rotura en el continuo espacio-tiempo o algo por lo que cada 5 minutos el servidor de correo se lo envía a sí mismo, una y otra vez.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Me encontré con el problema cuando cambié la configuración hoy para enrutar el correo infectado con virus a la dirección [email protected] en lugar de a los archivos en el servidor de correo no deseado. Parece que esto se ha vuelto a enviar cada 5 minutos durante cuatro meses.

Parece que lo detuve brevemente después de reiniciar el servidor de spam a las 7 p.m. de esta noche y pensé que se resolvió, pero a las 8:16 p.m. recibí el mensaje nuevamente, y cada 5 minutos desde entonces. Está empezando a volverme un poco loco.

¿Ayuda?

Editar: al volver a cambiar la configuración para almacenar virus en el servidor en lugar de en un buzón, el problema continúa:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Justo en lugar de correos electrónicos recibo archivos, cada 5 minutos.

Edición 2: Nuevos registros completos después de la reversión de la configuración y reinicios de Postfix y Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
email postfix malware amavis James Carppe
fuente
Nueva salida de registro después de los cambios agregados.
James Carppe
Pero ves que este es un mensaje diferente. ID de mensaje diferente y mail_id diferente. Entonces la pregunta sigue siendo: ¿Quién / qué usa SMTP desde su máquina local para entregar ese correo? ¿Un trabajo cron? Software de monitoreo? Debe mostrarse en la última línea Recibida del correo.
mailq
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <[email protected]>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
James Carppe
Y mi crontab: 11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
James Carppe
2
Oh chico. Entonces, lo descubrí. Resulta que era un script de Nagios que verifica si amavis se está ejecutando, y lo más importante para este problema en particular, verifica que el motor AV esté funcionando ... enviándole el virus EICAR. exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/… es el script en cuestión si alguien está interesado. Gracias a todos los que intentaron ayudar, ¡definitivamente me ayudaron a resolverlo todo!
James Carppe

Respuestas:

12

El problema es su configuración de Amavis.

Su destino de cuarentena parece ser una dirección de correo. Entonces, Amavis inyecta el correo del virus nuevamente en Postfix para ser entregado a esa dirección. Postfix ahora decide escanear el correo primero y delega a Amavis. Amavis reconoce el virus e intenta ponerlo en cuarentena entregándolo a la dirección de correo de cuarentena. Entonces ...

Obtienes el círculo vicioso, ¿verdad? Ponga los correos en cuarentena en una carpeta o base de datos, o defina una excepción para no analizar los correos en cuarentena en busca de virus.

Editar a la edición del interrogador

Ahora los ID de mensaje son diferentes. Lo que significa que son mensajes diferentes con (sorprendentemente) el mismo contenido. Esto me hace creer que es un trabajo cron o algún tipo de software de monitoreo que sigue enviando el mismo contenido (no el mismo correo).

Y al final James descubrió que su software de monitoreo Nagios sigue enviando ...

mailq
fuente
1
Hoy solo cambié el destino de cuarentena a un buzón, y este problema ha estado sucediendo durante 4 meses. La configuración anterior era $ virus_quarantine_to = 'virus-quarantine', que los almacena en / var / lib / amavis / virusmails. Cuando esto se estableció, el problema todavía estaba ocurriendo.
James Carppe
1
Además, esto solo parece ocurrir con este mensaje en particular. Otros virus reales que llegan a los correos electrónicos estándar a los usuarios se detectan y eliminan sin problemas.
James Carppe
5

Oh chico.

Entonces, lo descubrí. Resulta que era un script de Nagios que verifica si amavis se está ejecutando, y lo más importante para este problema en particular, verifica que el motor AV esté funcionando ... enviándole el virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details es el script en cuestión si alguien está interesado.

Gracias a todos los que intentaron ayudar, ¡definitivamente me ayudaron a resolverlo todo!

James Carppe
fuente
1

Ese puede ser el caso, dependiendo de su configuración de postfix y amavis. Si postfix intenta enviarlo a algún lugar y amavis intercepta el envío (como se indica en la tercera última línea), el mensaje permanecerá en la cola. Normalmente, la cola se eliminaría después de 72 h de no enviarla, pero si amavis también bloquea la eliminación del mensaje (ya que es otro acceso a un archivo virii), el mensaje nunca sale de la cola.

¿Ya intentó simplemente eliminar la cola de envío para este mensaje o incluso la dirección a través de las herramientas administrativas de postfix?

Lars
fuente
Sí, borré la cola varias veces (postsuper -d ALL), junto con varios reinicios ahora. No puedo encontrar ningún rastro del mensaje en ninguna parte, por eso estoy tan confundido sobre de dónde viene. Si es de alguna ayuda, usé www200.pair.com/mecham/spam/spamfilter20110303.html como guía para configurarlo todo. Mucha información allí sin embargo.
James Carppe