![同时收到来自 [email protected] 的同一封电子邮件。不知道它来自哪里](https://linux22.com/image/754584/%E5%90%8C%E6%97%B6%E6%94%B6%E5%88%B0%E6%9D%A5%E8%87%AA%20%5Bemail%20protected%5D%20%E7%9A%84%E5%90%8C%E4%B8%80%E5%B0%81%E7%94%B5%E5%AD%90%E9%82%AE%E4%BB%B6%E3%80%82%E4%B8%8D%E7%9F%A5%E9%81%93%E5%AE%83%E6%9D%A5%E8%87%AA%E5%93%AA%E9%87%8C.png)
我创建了一个 AIDE 脚本,它可以监控我主机上的文件更改,当某个文件发生更改时,它会发送有关更改的警报电子邮件。在我看来,我不认为这个脚本有问题。所以无论如何,让我与你分享一下:
以下是我的 git repo 中的脚本:
为了运行这个脚本,我让 cronjob 每 20 分钟运行一次,如下所示: */20 * * * * root /usr/local/bin/maxicron/aide/maxiaide cron > /dev/null
该脚本在发出警报消息方面做得很好,但最近我注意到我不断收到来自该脚本的同一封电子邮件,该邮件具有相同的日期和时间(2020 年 4 月 7 日上午 5:43),内容也相同。而且附件很大,有 22MB。有时我会一次收到近十几封邮件。
截屏:
当我在文本编辑器中查看附件时,我在脚本“文件数据库必须有一个 db_spec 规范”的日志文件中看到以下错误:
所以,这意味着警报由于错误而未完成脚本。
我禁用了 cronjob 两天了,但仍然收到这封电子邮件。另外,我检查了没有运行此脚本的 cronjob。我检查了邮件队列exim -bp,发现 exim 中没有电子邮件队列。现在,脚本没有运行,但我仍然收到这封警报电子邮件。您认为这封电子邮件究竟来自哪里?我如何调试电子邮件的来源?我不认为它来自脚本,因为脚本不再运行。这太奇怪了
所有的日志文件似乎都没有提供任何线索,而且由于电子邮件的时间和日期已经过时,电子邮件直接进入了邮箱的最后一个列表,而不是邮箱的顶部列表。
我使用的是centOS 8、exim、dovecot、roundcube、apache_nginx,AIDE版本是0.16
答案1
由于 AIDE 的 db_spec 问题,我发现 exim 尝试重新发送大型附件很多天了。(我认为可能是磁盘读取或 AIDE 读取 AIDE 数据库的方式的随机错误)。AIDE 的 db_spec 错误意味着数据库是空的(但实际上不是)。AIDE 没有完成脚本并导致脚本发送大型附件(没有来自 aide.conf 的任何过滤器),因此 exim 无法重试发送带有大型附件的电子邮件,并且卡了很多天。所以,我发现它在 exim 邮件输入文件夹中。手动清除输入文件夹和垃圾邮件,它就消失了:
service exim stop
rm -fvr /var/spool/exim/input
service exim restart