Kembali pada bulan Juni saya mengirim sendiri tanda tangan tes EICAR untuk memastikan pengaturan postfix / amavis / spamassassin dll saya berfungsi dengan baik. Saya tidak memperhatikan pada saat itu, tetapi ini entah bagaimana membuat air mata dalam kontinum ruang-waktu atau sesuatu dimana setiap 5 menit server email mengirimkannya sendiri, berulang-ulang.
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
Saya menemukan masalah ketika saya mengubah konfigurasi hari ini untuk merutekan email yang terinfeksi virus ke alamat [email protected] daripada ke file di server spam. Tampaknya ini telah mengirim ulang setiap 5 menit selama empat bulan sekarang.
Saya sepertinya menghentikannya sebentar setelah me-reboot server spam pada jam 7 malam malam dan mengira itu sudah selesai, tetapi pada jam 8:16 saya mendapat pesan itu lagi, dan setiap 5 menit sejak itu. Itu mulai membuatku sedikit gila.
Tolong?
Sunting: Pada mengubah konfigurasi kembali ke menyimpan virus di server daripada di kotak surat, masalah berlanjut:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
Alih-alih email saya mendapatkan file, setiap 5 menit.
Sunting 2: Log lengkap baru setelah pengembalian konfigurasi dan restart Postfix dan Amavis:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
Received: from localhost.localdomain ([127.0.0.1]) by localhost (yavin.mydomain.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id OG7XNLVAihsQ for <[email protected]>; Sat, 8 Oct 2011 02:58:39 +1300 (NZDT)
11 11 * * * /etc/init.d/hwclock.sh reload >/dev/null 47 5 * * 7 /usr/sbin/sa-update.sh 2 2 * * 3 su amavis -c '/usr/bin/razor-admin -discover' 43 11 * * * /usr/bin/cron-dccd 27 */6 * * * /usr/sbin/unofficial-clamav-sigs.sh */6 * * * * /usr/sbin/clamd-status.sh
Jawaban:
Masalahnya adalah pengaturan Amavis Anda.
Tujuan karantina Anda tampaknya adalah alamat surat. Jadi Amavis menyuntikkan surat virus kembali ke Postfix untuk dikirim ke alamat itu. Postfix sekarang memutuskan untuk memindai surat terlebih dahulu dan mendelegasikan ke Amavis. Amavis mengenali virus dan mencoba untuk mengkarantina dengan mengirimkan ke alamat surat karantina. Jadi ...
Anda mendapatkan lingkaran setan, kan? Entah karantina surat ke folder atau basis data, atau tentukan pengecualian untuk tidak memindai virus karantina.
Edit ke edit kuesioner
Sekarang Pesan-ID berbeda. Artinya mereka adalah pesan yang berbeda dengan (secara mengejutkan) konten yang sama. Ini membuat saya percaya bahwa itu adalah pekerjaan cron atau semacam perangkat lunak pemantauan yang terus mengirimkan konten yang sama (bukan surat identik).
Dan pada akhirnya James menemukan bahwa perangkat lunak pemantauan Nagios-nya terus mengirim ...
sumber
Oh Boy.
Jadi, saya menemukan jawabannya. Ternyata itu adalah skrip Nagios yang memeriksa apakah amavis berjalan, dan yang lebih penting untuk masalah khusus ini, memeriksa apakah mesin AV berfungsi ... dengan mengirimkannya virus EICAR.
http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details adalah skrip yang dipertanyakan jika ada yang tertarik.
Terima kasih untuk semua yang mencoba membantu, Anda pasti membantu saya memecahkannya!
sumber
Itu mungkin terjadi, tergantung pada pengaturan postfix dan amavis Anda. Jika postfix mencoba mengirimnya ke suatu tempat dan amavis memotong pengiriman (seperti yang ditunjukkan pada baris terakhir ketiga), pesan akan tetap berada dalam antrian. Biasanya, antrian akan dihapus setelah 72 jam dari tidak mengirimnya, tetapi jika amavis juga memblokir penghapusan pesan (karena itu adalah akses lain ke file virii), pesan tidak pernah keluar dari antrian.
Apakah Anda sudah mencoba menghapus send-queue untuk pesan ini atau bahkan alamat melalui alat administrasi postfix?
sumber