Postfix wysyła i odbiera ten sam e-mail co 5 minut przez ponad 4 miesiące

W czerwcu wysłałem sobie podpis testowy EICAR, aby upewnić się, że moja konfiguracja Postfix / Amavis / Spassassassin itp. Działa poprawnie. Nie zauważyłem w tym czasie, ale to jakoś wywołało łzę w kontinuum czasoprzestrzennym lub coś takiego, że co 5 minut serwer pocztowy wysyła go do siebie w kółko.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Natknąłem się na problem, zmieniając dzisiaj konfigurację, aby kierować zainfekowaną pocztę na adres virii@moja_domena.com zamiast do plików na serwerze spamu. Wygląda na to, że od czterech miesięcy jest on wysyłany ponownie co 5 minut.

Wydawało mi się, że zatrzymałem go na krótko po ponownym uruchomieniu serwera spamu o godzinie 19:00 i pomyślałem, że problem został rozwiązany, ale o 20:16 otrzymałem wiadomość ponownie i co 5 minut. To zaczyna doprowadzać mnie do szaleństwa.

Wsparcie?

Edycja: po przywróceniu konfiguracji do przechowywania wirusów na serwerze zamiast w skrzynce pocztowej problem nadal występuje:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Po prostu zamiast e-maili otrzymuję pliki co 5 minut.

Edycja 2: Nowe pełne dzienniki po przywróceniu konfiguracji i ponownym uruchomieniu Postfix i Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

Problemem jest twoja konfiguracja Amavis.

Twoim miejscem docelowym kwarantanny jest adres e-mail. Dlatego Amavis wstrzykuje pocztę wirusa z powrotem do Postfix, aby dostarczyć ją pod ten adres. Postfix teraz postanawia najpierw zeskanować pocztę i deleguje do Amavis. Amavis rozpoznaje wirusa i próbuje go poddać kwarantannie, dostarczając go na adres e-mail kwarantanny. Więc ...

Masz błędne koło, prawda? Albo poddaj kwarantannie wiadomości e-mail do folderu lub bazy danych, albo zdefiniuj wyjątek, aby nie skanować wiadomości kwarantanny w poszukiwaniu wirusów.

Edytuj do edycji questioneera

Teraz identyfikatory wiadomości są różne. Oznacza to, że są to różne wiadomości o (zaskakująco) tej samej treści. To sprawia, że ​​wierzę, że jest to albo praca crona, albo jakieś oprogramowanie monitorujące, które ciągle wysyła tę samą treść (nie identyczną pocztę).

I na koniec James dowiedział się, że jego oprogramowanie monitorujące Nagios wciąż wysyła ...

O chłopie.

Więc to rozgryzłem. Okazuje się, że był to skrypt Nagios, który sprawdza, czy Amavis działa, a co ważniejsze, w tym konkretnym problemie sprawdza, czy silnik AV działa ... wysyłając mu wirusa EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details jest pytanym skryptem, jeśli ktoś jest zainteresowany.

Dzięki wszystkim, którzy próbowali pomóc, zdecydowanie pomogłeś mi to wszystko zrozumieć!

Może tak być w zależności od konfiguracji Postfiksa i Amavisa. Jeśli postfix spróbuje go gdzieś wysłać, a amavis przechwyci wysyłanie (jak wskazano w trzecim ostatnim wierszu), wiadomość pozostanie w kolejce. Normalnie kolejka byłaby usuwana po 72 godzinach nie wysłania jej, ale jeśli amavis blokuje również usunięcie wiadomości (ponieważ jest to kolejny dostęp do pliku virii), wiadomość nigdy nie wychodzi z kolejki.

Czy próbowałeś już po prostu usunąć kolejkę wysyłania tej wiadomości lub nawet adres za pomocą narzędzi administracyjnych Postfix?