Em junho, enviei a assinatura do teste EICAR para ter certeza de que a configuração do meu postfix / amavis / spamassassin etc. estava funcionando corretamente. Eu não percebi na época, mas isso de alguma forma criou um rasgo no continuum espaço-tempo ou algo em que a cada 5 minutos o servidor de e-mail o envia para si mesmo, repetidamente.
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct 7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct 7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct 7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct 7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed
Eu me deparei com o problema quando alterei a configuração hoje para rotear e-mails infectados por vírus para o endereço [email protected] em vez de para arquivos no servidor de spam. Parece que isso foi reenviado a cada 5 minutos por quatro meses.
Pareceu-me parar brevemente depois de reiniciar o servidor de spam às 19h de hoje e achei que estava resolvido, mas às 20h16 recebi a mensagem novamente, e a cada 5 minutos desde então. Está começando a me enlouquecer um pouco.
Ajuda?
Editar: ao alterar a configuração de volta para armazenar vírus no servidor em vez de em uma caixa de correio, o problema continua:
Oct 7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms
Apenas em vez de e-mails, recebo arquivos a cada 5 minutos.
Editar 2: Novos logs completos após a reversão da configuração e reinicializações do Postfix e do Amavis:
Oct 8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct 8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct 8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct 8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0 <[email protected]> Queued mail for delivery)
Oct 8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed
Oh garoto.
Então, eu percebi isso. Acontece que era um script Nagios que verifica se o amavis está rodando, e mais importante para este problema em particular, verifica se o mecanismo antivírus está funcionando ... enviando o vírus EICAR.
link é o script em questão se alguém estiver interessado.
Obrigado a todos que tentaram ajudar, você definitivamente me ajudou a descobrir tudo!
O problema é sua configuração do Amavis.
Seu destino de quarentena parece ser um endereço de e-mail. Então o Amavis injeta o vírus de volta no Postfix para ser entregue naquele endereço. O Postfix agora decide escanear primeiro o e-mail e delega no Amavis. O Amavis reconhece o vírus e tenta colocá-lo em quarentena, entregando-o ao endereço de e-mail de quarentena. Então ...
Você obtém o círculo vicioso, certo? A quarentena é enviada para pasta ou banco de dados ou para definir uma exceção para não verificar vírus em quarentena.
Editar para a edição do questionador
Agora, os IDs das mensagens são diferentes. Significa que são mensagens diferentes com (surpreendentemente) o mesmo conteúdo. Isso me faz acreditar que é um cron job ou algum tipo de software de monitoramento que continua enviando o mesmo conteúdo (não o mesmo e-mail).
E no final, James descobriu que seu software de monitoramento Nagios continua enviando ...
Esse pode ser o caso, dependendo da configuração do postfix e do amavis. Se o postfix tentar enviá-lo para algum lugar e o amavis interceptar o envio (conforme indicado na terceira última linha), a mensagem permanecerá na fila. Normalmente, a fila seria deletada após 72h de não ser enviada, mas se o amavis também bloqueia a exclusão da mensagem (já que é outro acesso a um arquivo virii), a mensagem nunca sai da fila.
Você já tentou simplesmente excluir a fila de envio para esta mensagem ou mesmo endereço via as ferramentas administrativas do postfix?