Gửi tiền tố và nhận cùng một e-mail cứ sau 5 phút trong hơn 4 tháng

Trở lại vào tháng 6, tôi đã gửi cho mình chữ ký kiểm tra EICAR để đảm bảo rằng thiết lập postfix / amavis / spamassassin vv của tôi hoạt động tốt. Tôi đã không chú ý vào thời điểm đó, nhưng điều này bằng cách nào đó đã tạo ra một giọt nước mắt trong tính liên tục trong không gian hoặc một cái gì đó, cứ sau 5 phút, máy chủ thư sẽ tự gửi nó đi, lặp đi lặp lại.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<20111007072539.886FA1A14B0@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<VAAyuN8taIpfBV@yavin.mydomain.com>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<virii@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <20111007072539.886FA1A14B0@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<postmaster@mydomain.com>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virii@mydomain.com, mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <VAAyuN8taIpfBV@yavin.mydomain.com> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Tôi đã vấp phải sự cố khi tôi thay đổi cấu hình ngày hôm nay để định tuyến thư bị nhiễm vi-rút đến địa chỉ virii@mydomain.com thay vì các tệp trên máy chủ spam. Có vẻ như điều này đã được gửi lại cứ sau 5 phút trong bốn tháng nay.

Tôi dường như tạm dừng nó một thời gian ngắn sau khi khởi động lại máy chủ spam vào lúc 7 giờ tối nay và nghĩ rằng nó đã được giải quyết, nhưng vào lúc 8:16 tối, tôi lại nhận được tin nhắn và cứ sau 5 phút. Nó bắt đầu khiến tôi hơi điên.

Cứu giúp?

Chỉnh sửa: Khi thay đổi cấu hình trở lại để lưu trữ vi-rút trên máy chủ thay vì trong hộp thư, sự cố vẫn tiếp tục:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Chỉ thay vì e-mail tôi nhận được tệp, cứ sau 5 phút.

Chỉnh sửa 2: Nhật ký đầy đủ mới sau khi đảo ngược cấu hình và khởi động lại Postfix và Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<VAnB9ZAvBkol-I@yavin.mydomain.com>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<postmaster@mydomain.com>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <spambin@mydomain.com> -> <spambin@mydomain.com>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<postmaster@mydomain.com>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <VAnB9ZAvBkol-I@yavin.mydomain.com> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

Vấn đề là thiết lập Amavis của bạn.

Điểm đến kiểm dịch của bạn dường như là một địa chỉ thư. Vì vậy, Amavis tiêm thư virus trở lại vào Postfix để được gửi đến địa chỉ đó. Postfix bây giờ quyết định quét thư trước và ủy quyền cho Amavis. Amavis nhận ra virus và cố gắng kiểm dịch nó bằng cách gửi đến địa chỉ thư cách ly. Vì thế ...

Bạn có được vòng luẩn quẩn, phải không? Kiểm dịch thư vào thư mục hoặc cơ sở dữ liệu hoặc xác định một ngoại lệ để không quét thư kiểm dịch đối với vi-rút.

Chỉnh sửa để chỉnh sửa của người hỏi

Bây giờ ID tin nhắn đã khác. Có nghĩa là chúng là những thông điệp khác nhau với (đáng ngạc nhiên) cùng một nội dung. Điều này khiến tôi tin rằng đó là công việc định kỳ hoặc một loại phần mềm giám sát nào đó liên tục gửi cùng một nội dung (không phải thư giống hệt nhau).

Và cuối cùng, James phát hiện ra rằng phần mềm giám sát Nagios của anh ta vẫn tiếp tục gửi ...

Oh Boy.

Vì vậy, tôi đã tìm ra nó. Hóa ra đó là một tập lệnh Nagios kiểm tra xem amavis có đang chạy hay không, và quan trọng hơn là đối với vấn đề cụ thể này, hãy kiểm tra xem công cụ AV có hoạt động không ... bằng cách gửi cho nó virus EICAR.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details là tập lệnh được đề cập nếu có ai quan tâm.

Cảm ơn tất cả những người đã cố gắng giúp đỡ, bạn chắc chắn đã giúp tôi tìm ra tất cả!

Đó có thể là trường hợp, tùy thuộc vào việc bạn thiết lập postfix và amavis. Nếu postfix cố gửi nó ở đâu đó và amavis chặn việc gửi (như được chỉ ra trong dòng cuối cùng thứ ba), tin nhắn sẽ ở lại trong hàng đợi. Thông thường, hàng đợi sẽ bị xóa sau 72h không gửi nó, nhưng nếu amavis cũng chặn việc xóa tin nhắn (vì nó là một quyền truy cập khác vào tệp virii), tin nhắn sẽ không bao giờ thoát khỏi hàng đợi.

Bạn đã thử chỉ cần xóa hàng đợi gửi cho tin nhắn này hoặc thậm chí địa chỉ thông qua các công cụ quản trị của postfix?