早在六月份,我给自己发了EICARtesting签名,以确保我的后缀/ amavis / spamassassin等设置工作正常。 当时我没有注意到,但是这在某种程度上造成了时空连续性的一幕,或者是每隔5分钟邮件服务器一遍又一遍地发送给自己。
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]> Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active) Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]> Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery) Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1] Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active) Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery) Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed 今天我改变了这个configuration,把病毒感染的邮件路由到[email protected]地址而不是垃圾邮件服务器上的文件,我偶然发现了这个问题。 似乎现在已经每五分钟重新发送四个月了。
在今天晚上7点重新启动垃圾邮件服务器之后,我似乎暂时停下来,并认为这个问题已经解决,但是晚上8点16分,我又收到了这个消息,并且每5分钟一次。 它开始让我略微疯狂。
帮帮我?
编辑:将configuration更改回在服务器上而不是在邮箱中存储病毒,问题继续:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
每隔5分钟,而不是电子邮件,我得到的文件。
编辑2:configuration恢复和重新启动Postfix和Amavis后的新的完整日志:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1] Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1] Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]> Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1] Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active) Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery) Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
问题是你的Amavis设置。
您的隔离目标似乎是一个邮件地址。 所以,Amavis将病毒邮件注入到Postfix中,并将其发送到该地址。 Postfix现在决定首先扫描邮件并委托给Amavis。 Amavis识别病毒,并通过传送到隔离邮件地址来尝试隔离。 所以…
你得到了恶性循环,对吧? 要么将邮件隔离到文件夹或数据库中,要么定义一个例外,以免扫描隔离邮件中的病毒。
编辑到提问者的编辑
现在消息ID是不同的。 这意味着他们是不同的消息(令人惊讶的是)相同的内容。 这使我相信它不是一个cron工作就是一种持续发送相同内容的监视软件(不是相同的邮件)。
最后James发现他的Nagios监控软件一直在发送…
好家伙。
所以,我明白了。 事实certificate,这是一个Nagios脚本,检查是否amavis正在运行,更重要的是对于这个特定的问题,检查AV引擎是否正在工作…通过发送EICAR病毒。
感谢所有那些试图帮助的人,你们绝对帮助我把所有的东西都弄清楚了!
这可能是这种情况,取决于你的postfix和amavis的设置。 如果postfix尝试将其发送到某个地方,并且amavis拦截发送(如第三行所示),则消息将保留在队列中。 通常情况下,队列将在72小时之后被删除,但是如果amavis也阻止了消息的删除(因为它是对virii文件的另一个访问),消息永远不会出现在队列之外。
你已经尝试简单地删除这个消息的发送队列,甚至通过postfix的pipe理工具删除地址 ?