六月份的时候,我给自己发送了 EICAR 测试签名,以确保我的 postfix/amavis/spamassassin 等设置正常工作。当时我并没有注意到,但这不知怎么地造成了时空连续体的撕裂,邮件服务器每隔 5 分钟就会将其发送给自己,如此反复。
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
今天我更改配置以将受病毒感染的邮件路由到[电子邮件保护]地址,而不是垃圾邮件服务器上的文件。似乎这已经每隔 5 分钟重新发送一次,持续了四个月。
今晚 7 点重启垃圾邮件服务器后,我似乎暂时停止了这种情况,并认为问题已经解决,但在晚上 8:16,我又收到了这条消息,此后每隔 5 分钟就会收到一次。这开始让我有点抓狂了。
帮助?
编辑:将配置改回将病毒存储在服务器上而不是邮箱中时,问题仍然存在:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
每隔 5 分钟我就会收到文件,而不是电子邮件。
编辑 2:配置恢复并重新启动 Postfix 和 Amavis 后的新完整日志:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
答案1
问题在于您的 Amavis 设置。
您的隔离目的地似乎是一个邮件地址。因此 Amavis 将病毒邮件重新注入 Postfix 并发送到该地址。Postfix 现在决定首先扫描邮件并委托给 Amavis。Amavis 识别病毒并尝试通过发送到隔离邮件地址来隔离病毒。因此...
你陷入了恶性循环,对吧?要么将邮件隔离到文件夹或数据库中,要么定义例外情况,不扫描隔离邮件中的病毒。
编辑致提问者的编辑
现在,消息 ID 不同了。这意味着它们是不同的消息,但内容(令人惊讶)相同。这让我相信它要么是一个 cron 作业,要么是某种监控软件,它会不断发送相同的内容(而不是相同的邮件)。
最后,詹姆斯发现他的 Nagios 监控软件不断发送……
答案2
好家伙。
所以,我搞明白了。原来这是一个 Nagios 脚本,用于检查 amavis 是否正在运行,更重要的是,对于这个特定问题,它通过向 AV 引擎发送 EICAR 病毒来检查 AV 引擎是否正常工作。
http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details如果有人感兴趣的话,这就是所讨论的脚本。
感谢所有试图提供帮助的人,你们确实帮助我弄清楚了一切!
答案3
情况可能确实如此,具体取决于您的 postfix 和 amavis 设置。如果 postfix 尝试将其发送到某个地方,而 amavis 拦截了发送(如倒数第三行所示),则该消息将保留在队列中。通常,在未发送消息 72 小时后,队列将被删除,但如果 amavis 也阻止删除该消息(因为它是另一种对病毒文件的访问),则该消息永远不会离开队列。
您是否已经尝试过简单地删除此消息的发送队列,或者甚至地址通过 postfix 的管理工具?