Infizierter Server & Abuse Nachricht

Dieses Thema im Forum "Server Administration" wurde erstellt von shadowcast, 12. Juni 2014.

  1. shadowcast

    shadowcast Member

    Guten morgen,

    ich bin gerade völlig am rotieren, da ich gerade von meinem Provider Netcup eine Abuse Meldung erhalten habe.
    Aber... ruhig bleiben.

    Meine Config ist Debian Wheezy mit ISPConfig nach dem Perfekt Server Tutorial. Dazu habe ich Ossec und die CSF-Firewall laufen.

    Ich erhalte seit letzten Donnerstag viele Meldungen wie:
    Code:
    Jun 12 10:06:59 MEINHOST postfix/smtpd[19133]: warning: unknown[31.47.84.23]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
    Nach 6 solcher Meldungen wird die IP von CSF gesperrt.

    Die Meldungen reißen aber seitdem nicht ab. Ich erhalte ca. 100 Mails am Tag über diese Sperren.

    Daraufhin meldet das System oft einen verdächtigen Prozess:
    Code:
    lfd on MEINSERVER: Suspicious process running under user postfix
    Time:    Fri Jun  6 13:05:33 2014 +0200
    PID:     31338 (Parent PID:4211)
    Account: postfix
    Uptime:  80 seconds  
    
    Executable:
    /usr/lib/postfix/error  
    Command Line (often faked in exploits):
    error -n retry -t unix -u -c
    mit folgendem Log:
    Code:
    Jun  8 14:05:58 MEINHOST named[2784]: socket.c:5274: unexpected error:
    Den Error Prozess habe ich im CSF dann lediglich auf die Ignore Liste gesetzt.

    Heute dann die Abuse Mail: (Auszug)
    Code:
    X-HmXmrOriginalRecipient: leiffers@hotmail.com
    X-Reporter-IP: 84.131.18.152
    x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
    Authentication-Results: hotmail.com; spf=none (sender IP is 5.45.105.158) smtp.mailfrom=Vodafone@wMEINHOST.MEINEDOMAIN.de; dkim=none header.d=EINKUNDE.de;
    x-hmca=none header.id=assistenz@EINKUNDE.de
    X-SID-PRA: assistenz@EINKUNDE.de
    X-AUTH-Result: NONE
    X-SID-Result: NONE
    X-Message-Status: n:n
    X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD00
    X-Message-Info:
    11chDOWqoTk4sVVujvN0yvEE5LdEp/0mkW3R5+Zq3UmUCEglB/UQvOGx97hwMI1wLanT3paXGXSPuEeiYybw5jbTZ
    1ka8ou2cfAOra2sBkTeRltpZh6dCyX5dPi98H2r7S2jy63O7V0/se4puZk0/s3V1OydfdYbw3ceBnwfT3aeyA3gAn
    rHOAE6Wiu11Khv13j7DeLxYkX3sv5aS8juqxoJVKdoW5vC
    Received: from MEINHOST.MEINEDOMAIN.de ([5.45.105.158]) by BAY004-MC5F25.hotmail.com over TLS secured
    channel with Microsoft SMTPSVC(7.5.7601.22678);
         Tue, 10 Jun 2014 03:22:38 -0700
    Received: from localhost (localhost [127.0.0.1])
        by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTP id 09F43100ECC
        for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:37 +0200 (CEST)
    X-Virus-Scanned: Debian amavisd-new at MEINHOST.MEINEDOMAIN.de
    Received: from MEINHOST.MEINEDOMAIN.de ([127.0.0.1])
        by localhost (MEINHOST.MEINEDOMAIN.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id DDTGXQdsYJVk for <leiffers@hotmail.com>;
        Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
    Received: from andm02 (mail.mikro-polo.si [90.157.147.26])
        (Authenticated sender: assistenz@EINKUNDE.de)
        by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTPA id 8C37B100ECA
        for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
    Date: Tue, 10 Jun 2014 12:22:26 +0200
    From: Vodafone
    <assistenz@EINKUNDE.de>
    To: leiffers@hotmail.com
    X-MSMail-Priority: High
    X-Priority: 1
    Priority: urgent
    Importance: high
    X-MimeOLE: Produced by Blat v3.1.1
    X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer www.blat.net
    Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
    Subject: Rechnung Mai 2014, #G55388-480F3
    Content-Transfer-Encoding: 8BIT
    Content-Type: text/html;
     charset=\"ISO-8859-1\"
    Return-Path: Vodafone@MEINHOST.MEINEDOMAIN.de
    X-OriginalArrivalTime: 10 Jun 2014 10:22:38.0827 (UTC) FILETIME=[E7A35BB0:01CF8495]
    Was ist auffällt ist der X-MAILER (Win32) was wie ich hoffe auf ein befallenes Windows beim Kunden hinweist?

    Hier ein Auszug des entsprechenden Logs:
    Code:
    Jun 10 12:22:34 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
    Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
    Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: 8C37B100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
    Jun 10 12:22:36 MEINHOST postfix/cleanup[31959]: 8C37B100ECA: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
    Jun 10 12:22:36 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6386, nrcpt=1 (queue active)
    Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: disconnect from mail.mikro-polo.si[90.157.147.26]
    Jun 10 12:22:36 MEINHOST postfix/smtpd[31299]: connect from mail.mikro-polo.si[90.157.147.26]
    Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: 09F43100ECC: client=localhost[127.0.0.1]
    Jun 10 12:22:37 MEINHOST postfix/cleanup[32034]: 09F43100ECC: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
    Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: disconnect from localhost[127.0.0.1]
    Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 09F43100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6849, nrcpt=1 (queue active)
    Jun 10 12:22:37 MEINHOST amavis[487]: (00487-10) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1930 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <leiffers@hotmail.com>, Queue-ID: 8C37B100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>, mail_id: DDTGXQdsYJVk, Hits: -2.176, size: 6376, queued_as: 09F43100ECC, 436 ms
    Jun 10 12:22:37 MEINHOST postfix/smtp[31960]: 8C37B100ECA: to=<leiffers@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.56, delays=0.12/0/0.01/0.44, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 09F43100ECC)
    Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: removed
    Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
    Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: 47D07100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
    Jun 10 12:22:39 MEINHOST postfix/cleanup[31959]: 47D07100ECA: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
    Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6404, nrcpt=1 (queue active)
    Jun 10 12:22:39 MEINHOST postfix/smtp[31262]: 09F43100ECC: to=<leiffers@hotmail.com>, relay=mx1.hotmail.com[207.46.8.167]:25, delay=2.3, delays=0.04/0/1.3/0.93, dsn=2.0.0, status=sent (250  <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de> Queued mail for delivery)
    Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 09F43100ECC: removed
    Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: disconnect from mail.mikro-polo.si[90.157.147.26]
    Jun 10 12:22:39 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
    Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: B3D92100ECC: client=localhost[127.0.0.1]
    Jun 10 12:22:39 MEINHOST postfix/cleanup[32034]: B3D92100ECC: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
    Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: disconnect from localhost[127.0.0.1]
    Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: B3D92100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6885, nrcpt=1 (queue active)
    Jun 10 12:22:39 MEINHOST amavis[32691]: (32691-16) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1932 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <anke.scherb@landvolk-celle.de>, Queue-ID: 47D07100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>, mail_id: Tcv0eoSLI0cA, Hits: -2.176, size: 6394, queued_as: B3D92100ECC, 429 ms
    Jun 10 12:22:39 MEINHOST postfix/smtp[32112]: 47D07100ECA: to=<anke.scherb@landvolk-celle.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.52, delays=0.09/0/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B3D92100ECC)
    Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: removed
    Jun 10 12:22:40 MEINHOST postfix/smtp[30393]: B3D92100ECC: to=<anke.scherb@landvolk-celle.de>, relay=mx01.kundenserver.de[212.227.15.150]:25, delay=0.41, delays=0.03/0/0.17/0.2, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MJpRs-1WtCjj42TM-0019i2)
    Jun 10 12:22:40 MEINHOST postfix/qmgr[4389]: B3D92100ECC: removed
    
    Was auch sehr komisch ist ist der Graph für Postfix, welcher seit genau dem Zeitpunkt enorm nach oben ging. (siehe Anhang)

    Es sind definitiv mehrere Mails von dem Account verschickt worden.

    Was würdet Ihr machen? Dem Kunden die Adressen zudrehen aus ISPConfig? Oder den ganzen Account?
    Noch wichtiger, was kann ich am bzw. mit dem Server machen.
    Erstens ob ich wirklich soweit raus bin und zweitens wie ich zukünftig sowas früher bemerken kann?

    Ich wäre euch megafroh über eure Meinungen.

    LG
     

    Anhänge:

  2. Till

    Till Administrator

    das ist ein infizierter Kundenrechner. Kommt zur zeit sehr häufig vor, dss ist der Trojaner der derzeit über die fake Telekom, Vodafone, etc. Rechnungen versendet wird. Den erkennst Du recht eibfach an den mail Hedern:

    (Authenticated sender: assistenz@EINKUNDE.de)

    Plus from Adresse die nicht passt, meist Vodafone q... Telekom@... etc. Am Besten das Passwort des Accounts ändern und den Kunde auffordern seinen Rechner mit einer antivirus software zu scannen.

    Vorbeugend kannst Du da wenig gegen machen, denn das einzig sichere wäre wenn Deine Kunden keine Mails mehr versenden dürfen und dass ist ja nicht Sinn eines Mailservers.

    Kontrolliere regelmäßig Deine Mailqueue. wenn dei Anzahl in der queue steigt, dann gibt es meist Handlungsbedarf. Die header von Mails in der queu kannst Du mit postcat ansehen.
     
  3. shadowcast

    shadowcast Member

    Das ist auch meine Vermutung. Schön wenn sie noch jemand teilt.

    Mit Netcup ist bereits telefoniert, die angekündigte Serversperre wurde bis auf weiteres aufgehoben.

    SUPER NETTER SUPPORT, welcher auch schon meine Vermutung bestätigt hat.

    Wenn ich am Server noch was machen kann bin ich absolut um jeden Rat dankbar.

    PS. Ich habe im ISPConfig die Domains der Kundenemails gesperrt. Im Munin geht die Last aber nicht herunter?
    Ich hatte Postfix auch für ca. 1 Minute gestoppt, das zeigt er gar nicht an????? Siehe Anhang

    Okay hab mit "postsuper -d ALL" mal die komplette Queue gelöscht.
     

    Anhänge:

    Zuletzt bearbeitet: 12. Juni 2014
  4. Till

    Till Administrator

    Ich würde die Passworte der Konten ändern, denn sperren der Kundendomain verhindert nur dem Empfang von Emails aber nicht das Senden. Wenn die last nicht runter geht nachdem Du das passwort des Postfaches geändert hast, dann starte mal postxic, dovecot, courier-authdaemon und saslauthd neu (je nachdem was installiert ist). Es kann sein dass die Mails so schnell versendet werden dass Postfix / sasl das Passwort cached ohne es erneut aus der DB zu laden.
     
  5. shadowcast

    shadowcast Member

    Okay. Hab alles geändert und den ganzen Server neu gestartet.

    Beobachten.

    Der Kunde bekommt jedenfalls erst wieder sein Passwort wenn seine Systeme sauber sind.

    Ich ich bin nun nicht auf einer Spamliste gelandet. Geht ja doch schon seit paar Tagen.

    DANKE FÜR DIE SCHNELLE HILFE!
    Das zeigt dass ich mich für das richtige System mit der richtigen Community Anfang 2014 entschieden hab.
     
  6. nowayback

    nowayback Well-Known Member

    Hi,


    Vorsicht... der Kunde hat das Recht an seinen Daten - und E-Mails gehören dazu! AGB's können dich hier passend unterstützen. (aber dies soll keine Rechtsberatung werden und sein ;-))


    Glück gehabt das du die falschen Empfänger hattest, denn sonst wärst du bereits nach wenigen Stunden überall aufgetaucht.

    Ja Till und Co. leisten gute Arbeit... Wenn du suchst, findest du Möglichkeiten ISPConfig zu unterstützen ;-)

    Grüße
    nwb
     
  7. shadowcast

    shadowcast Member

    Ja ich denke meine AGBs sind da ganz gut aufgestellt. Wenn auch der Kunden natürlich alles abstreiten würde, denn was kann er dafür? ;-)

    Was meinst du mit "falsche Empfänger".
    Diejenigen die in den Queue gelistet waren?

    Der Server ist zum Glück nirgendwo der Blacklist.

    Ja ISPConfig sollte definitiv unterstützt werden. Absolut erstklassige Anwendung und der Support ist MEGA! Ein großes Lob.

    Hab deshalb auch die Android App gekauft, auch wenn ich mir hier durchaus noch ein paar Dinge wünschen würde, mindestens, dass ich bei Ausfall auch benachrichtigt werde.
     
  8. nowayback

    nowayback Well-Known Member

    Hi,

    ja mit falscher Empfänger meinte ich die, die deine Mails erhalten haben. Mehr als 24h Spams verschicken und auf keiner einzigen Blacklist zu landen ist schon fast wie eine aufforderung zum lotto spielen :D

    Zur App: Den gleichen Vorschlag hatte ich auch schon, siehe: http://www.howtoforge.de/forum/40496-post1.html

    Grüße
    nwb
     
  9. shadowcast

    shadowcast Member

    Hallo,

    so ich habe über die letzten Tage meinen Server genau beobachtet, sogar einen Fail2Ban Regex gebastelt, welcher derartige Sachen Bannen sollte.

    Heute ging auch der besagte Kundenrechner wieder online und bisher keine verdächtigen Meldungen. Auch die Logs zeigen nichts ungewöhnliches, bis auf ein paar wenige Einträge:

    Code:
    Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: connect from webbox1316.server-home.net[195.137.212.226]
    Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: E27961007EA: client=webbox1316.server-home.net[195.137.212.226]
    Jun 16 18:15:46 MEINHOST postfix/cleanup[29383]: E27961007EA: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
    Jun 16 18:15:46 MEINHOST postfix/qmgr[4337]: E27961007EA: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2005, nrcpt=1 (queue active)
    Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: disconnect from webbox1316.server-home.net[195.137.212.226]
    Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: connect from localhost[127.0.0.1]
    Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: 0BFBB100978: client=localhost[127.0.0.1]
    Jun 16 18:15:48 MEINHOST postfix/cleanup[29383]: 0BFBB100978: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
    Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: disconnect from localhost[127.0.0.1]
    Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2460, nrcpt=1 (queue active)
    Jun 16 18:15:48 MEINHOST amavis[20397]: (20397-17) Passed CLEAN {RelayedInbound}, [195.137.212.226]:1630 [84.18.143.213] <Telekom@MEINHOST.MEINEDOMAIN.de> -> <NAME@EINKUNDE.de>, Queue-ID: E27961007EA, Message-ID: <01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>, mail_id: IxavmBsQkncS, Hits: -0.977, size: 2005, queued_as: 0BFBB100978, 1092 ms
    Jun 16 18:15:48 MEINHOST postfix/smtp[29385]: E27961007EA: to=<NAME@EINKUNDE.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=0.09/0/0/1.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0BFBB100978)
    Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: E27961007EA: removed
    Jun 16 18:15:48 MEINHOST dovecot: auth-worker(30114): mysql(localhost): Connected to database dbispconfig
    Jun 16 18:15:48 MEINHOST dovecot: lda(NAME@EINKUNDE.de): sieve: msgid=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>: stored mail into mailbox 'INBOX'
    Jun 16 18:15:48 MEINHOST postfix/pipe[30112]: 0BFBB100978: to=<NAME@EINKUNDE.de>, relay=dovecot, delay=0.28, delays=0.02/0.01/0/0.25, dsn=2.0.0, status=sent (delivered via dovecot service)
    Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: removed
    
    Hier ist auch nochmal eine $Blat.v3.1.1 Nachricht, welchen von einer Telekom@MEINHOST.MEINEDOMAIN.de gesendet wurde. Genau wie vorher.
    Der Unterschied, hier hat sich zuvor nicht direkt ein Account angemeldet, dem der Versand zuzuschreiben wäre?
    Auch ging die Nachricht nicht an eine unbekannte Adresse, sondern eine Adresse welche auf dem Server existiert.

    Von diesen Nachrichten habe ich ca. 2-4 seit Freitag bis heute.

    Was haltet ihr davon?
     
  10. wotan2005

    wotan2005 Member

    schau dir doch mal die Mail mit der ID E27961007EA und 0BFBB100978 an.

    In den Mail-Header kannst du erkennen, bei sasl_auth, wenn dieser TAG im Header ist, wer die Mail eingeliefert hat.
     
  11. shadowcast

    shadowcast Member

    Vermutlich ne dumme Frage, aber:

    Code:
    find -name "E27961007EA"
    sollte doch Dateien mit dem Suchbegriff finden oder?
    Ein:

    Code:
    grep -rl 'E27961007EA'
    dauert vermutlich ewig da er ja jede Zeile jeder Datei durchforstet?
     
  12. wotan2005

    wotan2005 Member

    Code:
    postcat /var/spool/postfix/deferred/E/E27961007EA
    postcat /var/spool/postfix/deferred/0/0BFBB100978
    Und dann nach
    Code:
    named_attribute: sasl_method=LOGIN
    named_attribute: sasl_username=XXX
    schauen, dann weißt du genau wer die Mail eingeliefert hat.
     
    Zuletzt bearbeitet: 18. Juni 2014
  13. shadowcast

    shadowcast Member

    Okay da ist heute schon nichts mehr da.

    Aber das ist doch das Selbe wie es in ISPConfig über:
    Überwachung -> Email Warteschlange anzeigen
    sein sollte?
    Und hier steht nämlich bereits der Absender?

    Also wohl einfach das nächste mal abwarten.
     
  14. Till

    Till Administrator

    Jein. Mit Postcat siehst Du den kompletten mail header und Inhalt, in der Warteschlange siehst Du nur die from und to adresse. Die können aber gefälscht sein. Mit postcat siehst Du unter anderem wer der echte absender (authenticated sender) ist der sich an postfix angemeldet hat bzw. den namen des php scriptes, über den die email verwendet wurde.
     
  15. shadowcast

    shadowcast Member

    Morgen,

    Till schreibt in seiner ersten Antwort:
    Daraufhin habe ich mein Munin etwas angepasst:
    Code:
    mcedit /etc/munin/munin.conf
    
    contacts me
    contact.me.command mail -s „Munin notification“ MEINE_EMAIL
    contact.me.always_send warning critical
    
    ...
    
    [MEIN_SERVER]
      address 127.0.0.1
      use_node_name yes
      postfix_mailqueue.deferred.warning 5
      postfix_mailqueue.deferred.critical 10
    
    service apache2 restart
    service munin-node restart
    
    Um das Ganze mal zu testen habe ich die Warning auf 1 gestellt und sollte demnächst eine Meldung erhalten.

    Was denkt ihr? Sinnvoll?
     

Diese Seite empfehlen