mailq von unbekannter Emailadresse voll

Dieses Thema im Forum "Server Administration" wurde erstellt von Sigix, 11. Juni 2013.

  1. Sigix

    Sigix Member

    Hallo,

    ich brauche eure Hilfe! meine mailq ist mit über 900 Emails von einer Emailadresse voll welche nicht in meinem System angelegt ist!

    Server wurde auf open-Relay getestet, Rootkits sind auch keine vorhanden!
    Auf dem System laufen ca. 3000 Mailboxen

    das ganze läuft über virtual-mailboxen

    hier meine main.cf

    smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
    biff = no

    # appending .domain is the MUA's job.
    append_dot_mydomain = no

    # Uncomment the next line to generate "delayed mail" warnings
    #delay_warning_time = 4h

    # TLS parameters
    smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
    smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
    smtpd_use_tls=no
    smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
    smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

    # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
    # information on enabling SSL in the smtp client.

    myhostname = test.com
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    myorigin = /etc/mailname
    mydestination = localhost, mailserver.test.com
    relayhost =
    mynetworks = 127.0.0.0/8
    mailbox_size_limit = 0
    recipient_delimiter = +
    inet_interfaces = 194.242.xxx.xxx
    virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
    virtual_uid_maps = static:5000
    virtual_gid_maps = static:5000
    virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
    virtual_alias_maps = hash:/etc/postfix/virtual,proxy:mysql:/etc/postfix/mysql-virtual-alias-maps.cf,proxy:mysql:/etc/postfix/mysql-email2email.cf
    virtual_transport = dovecot
    dovecot_destination_recipient_limit = 1
    smtpd_sasl_type = dovecot
    smtpd_sasl_path = private/auth
    smtpd_sasl_auth_enable = yes
    smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_client_access hash:/etc/postfix/pop-before-smtp,reject_unauth_destination,check_policy_service inet:127.0.0.1:12525, check_recipient_access hash:/etc/postf$
    smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access, reject_unknown_address, reject_non_fqdn_sender
    smtpd_client_restrictions =
    check_client_access hash:/etc/postfix/access
    permit_mynetworks
    permit_sasl_authenticated
    check_client_access hash:/etc/postfix/pop-before-smtp
    reject_unauth_pipelining
    reject_rbl_client bl.spamcop.net
    reject_rbl_client dnsbl.dronebl.org
    reject_rbl_client cbl.abuseat.org
    reject_rbl_client ix.dnsbl.manitu.net
    reject_rbl_client combined.njabl.org
    reject_rbl_client zen.spamhaus.org
    reject_rbl_client t1.dnsbl.net.au
    check_policy_service inet:127.0.0.1:10023
    transport_maps = hash:/etc/postfix/transport
    header_checks = regexp:/etc/postfix/header_checks
    message_size_limit = 50240000
    maximal_queue_lifetime = 1d
    bounce_queue_lifetime = 1d
    smtp_data_done_timeout = 1200s

    mail.err
    Jun 11 09:58:19 mailserver postfix/cleanup[17696]: fatal: 1FBDDD7C2C5: move to hold queue failed: No such file or directory

    postcar einer solchen mail:

    mailserver:/etc/postfix# postcat /var/spool/postfix/deferred/9/945A51B8340
    *** ENVELOPE RECORDS /var/spool/postfix/deferred/9/945A51B8340 ***
    message_size: 2800 215 1 0 2800
    message_arrival_time: Tue Jun 11 10:16:31 2013
    create_time: Tue Jun 11 10:16:31 2013
    named_attribute: log_message_origin=local
    named_attribute: trace_flags=0
    sender:
    original_recipient: yayatulla@comcast.net
    recipient: yayatulla@comcast.net
    *** MESSAGE CONTENTS /var/spool/postfix/deferred/9/945A51B8340 ***
    Received: by test.com (Postfix)
    id 945A51B8340; Tue, 11 Jun 2013 10:16:31 +0200 (CEST)
    Date: Tue, 11 Jun 2013 10:16:31 +0200 (CEST)
    From: MAILER-DAEMON@mailserver.text.com (Mail Delivery System)
    Subject: Undelivered Mail Returned to Sender
    To: yayatulla@comcast.net
    Auto-Submitted: auto-replied
    MIME-Version: 1.0
    Content-Type: multipart/report; report-type=delivery-status;
    boundary="27FE71B8331.1370938591/test.com"
    Message-Id: <20130611081631.945A51B8340@test.com>

    This is a MIME-encapsulated message.

    --27FE71B8331.1370938591/test.com
    Content-Description: Notification
    Content-Type: text/plain; charset=us-ascii

    This is the mail system at host test.com.

    I'm sorry to have to inform you that your message could not
    be delivered to one or more recipients. It's attached below.

    For further assistance, please send mail to postmaster.

    If you do so, please include this problem report. You can
    delete your own text from the attached returned message.

    The mail system

    <doristucker@bellsouth.net>: host gateway-f1.isp.att.net[204.127.217.16] said:
    550 [SUSPEND] Mailbox currently suspended - Please contact correspondent
    directly (in reply to RCPT TO command)

    --27FE71B8331.1370938591/test.com
    Content-Description: Delivery report
    Content-Type: message/delivery-status

    Reporting-MTA: dns; test.com
    X-Postfix-Queue-ID: 27FE71B8331
    X-Postfix-Sender: rfc822; yayatulla@comcast.net
    Arrival-Date: Tue, 11 Jun 2013 10:15:51 +0200 (CEST)

    Final-Recipient: rfc822; doristucker@bellsouth.net
    Original-Recipient: rfc822;doristucker@bellsouth.net
    Action: failed
    Status: 5.0.0
    Remote-MTA: dns; gateway-f1.isp.att.net
    Diagnostic-Code: smtp; 550 [SUSPEND] Mailbox currently suspended - Please
    contact correspondent directly

    --27FE71B8331.1370938591/test.com
    Content-Description: Undelivered Message Headers
    Content-Type: text/rfc822-headers

    Return-Path: <yayatulla@comcast.net>
    Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])
    by test.com (Postfix) with ESMTPA id A3C081B831C;
    Tue, 11 Jun 2013 10:15:51 +0200 (CEST)
    Content-Type: multipart/mixed; boundary="===============1412344710=="
    MIME-Version: 1.0
    Subject: Payment receipt
    To: Recipients <yayatulla@comcast.net>
    From: "Ernst Kuemmerle" <yayatulla@comcast.net>
    Date: Tue, 11 Jun 2013 10:15:37 +0200
    X-TEST-MailScanner-Information: Please contact the ISP for more information
    X-TEST-MailScanner-ID: A3C081B831C.AEED0
    X-TEST-MailScanner: Found to be clean
    X-TEST-MailScanner-From: yayatulla@comcast.net
    X-Spam-Status: No

    --27FE71B8331.1370938591/test.com--
    *** HEADER EXTRACTED /var/spool/postfix/deferred/9/945A51B8340 ***
    *** MESSAGE FILE END /var/spool/postfix/deferred/9/945A51B8340 ***
    mailserver:/etc/postfix#

    Server:
    Debian mailserver 2.6.32-5-amd64#1
    mysql 5.5.14
    Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8o mod_perl/2.0.4 Perl/v5.10.1

    Bitte um Hilfe,...danke
     
  2. Till

    Till Administrator

    Hast Du auf dem Server auch Webseiten? Wenn ja, dann kann es sein dass eines der Website cms eine Lücke hat und die Emails darüber versnad wurden, also z.B. über die mail() Funktion von PHP.

    Eine andere Möglichkeit ist dass Du die bounce mails einer Spamwelle erhältst. Also jemand verschickt spam und gibt als from Adresse oder replyto eine Adresse Deines Servers an so dass alle abgelehnten emails nicht zurück zum wirklichen versender gehen sondern auf Deinem Server auflaufen. Gegen sowas kann man nicht allzu viel machen, das ebbt nach ein paar Stunden oder Tagen wieder ab.
     
  3. Sigix

    Sigix Member

    Hallo Till,
    danke für deine Antwort!

    Ja auf dem System laufen 15 Webseiten!
    ich könnte mal versuchen diese für eine Stunde offline zu nehmen!

    Das mit den Bounce Mails habe ich mir auch schon gedacht.....
    Mittlweile sind es schon über 1000 Mails in der Mailq also wird mir nur das löschen übrig bleiben und abwarten oder ?

    Danke für deine Hilfe
     
  4. Till

    Till Administrator

    Schau mal im mail log ob Du erkennen kannst wo die mails herkommen. Wenn sie von den websites sind dann müssen sie über localhost reinkommen. Wenn sie von externen Adressen kommen würde ich auf bounce mails tippen.

    Hier ein kleines shellscript zum aufräumen der Queue:

    Code:
    mailq | tail -n +2 | awk 'BEGIN { RS = "" }
    # $7=sender, $8=recipient1, $9=recipient2
    { if ($7 == "MAILER-DAEMON")
    print $1 }
    ' | tr -d '*!' | postsuper -d -
    Das ist an sich ein Einzeiler, der Übersichtlichkeit halber aufgeteilt. Du kannst ihn so wie er da steht 1 zu 1 auf die hell kopieren und return drücken.

    wichtig ist die 3. Zeile, dort kannst Du "$7" auch durch $8 oder $9 ersetzen und dann innerhalb der Anführungszeichen wo jetzt "MAILER-DAEMON" steht kann auch eine Emailadresse angegeben werden.
     
  5. Sigix

    Sigix Member

    Danke für das Script!
    Mailq ist jetzt wieder im grünen Bereich!

    habe das main.info log dursucht und folgende Eintragungen gefunden:

    Jun 11 09:37:15 mailserver postfix/cleanup[9207]: 0C9041B8035: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 0C9041B8035??for <$
    Jun 11 09:37:15 mailserver postfix/cleanup[9207]: 0C9041B8035: message-id=<>
    Jun 11 09:37:17 mailserver MailScanner[20395]: Message 0C9041B8035.AC865 from 193.213.86.50 (yayatulla@comcast.net) to yahoo.com is too big for spam checks (352464 > 150000 bytes)
    Jun 11 09:37:18 mailserver MailScanner[20395]: Requeue: 0C9041B8035.AC865 to 782361B80EE
    Jun 11 09:37:18 mailserver MailScanner[20395]: Uninfected: Delivered 1 messages
    Jun 11 09:37:18 mailserver postfix/qmgr[8412]: 782361B80EE: from=<yayatulla@comcast.net>, size=351662, nrcpt=1 (queue active)
    Jun 11 09:37:18 mailserver MailScanner[20395]: Deleted 1 messages from processing-database
    Jun 11 09:37:18 mailserver MailScanner[20395]: Logging message 0C9041B8035.AC865 to SQL
    Jun 11 09:37:18 mailserver MailScanner[20402]: 0C9041B8035.AC865: Logged to MailWatch SQL
    Jun 11 09:46:21 mailserver postfix/cleanup[9207]: 212241B8052: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 212241B8052;??Tue,$
    Jun 11 09:46:21 mailserver postfix/cleanup[9207]: 212241B8052: message-id=<>
    Jun 11 09:46:21 mailserver postfix/cleanup[9633]: 38ED61B813C: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 38ED61B813C;??Tue,$
    Jun 11 09:46:21 mailserver postfix/cleanup[9633]: 38ED61B813C: message-id=<>
    Jun 11 09:46:21 mailserver postfix/cleanup[4381]: 3D5E41B8244: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 3D5E41B8244;??Tue,$
    Jun 11 09:46:21 mailserver postfix/cleanup[4381]: 3D5E41B8244: message-id=<>
    Jun 11 09:46:21 mailserver postfix/cleanup[4382]: 4D7791B824C: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 4D7791B824C;??Tue,$
    Jun 11 09:46:21 mailserver postfix/cleanup[4382]: 4D7791B824C: message-id=<>
    Jun 11 09:46:22 mailserver postfix/cleanup[14733]: 4FE3C1B8278: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 4FE3C1B8278;??Tue$
    Jun 11 09:46:22 mailserver postfix/cleanup[14733]: 4FE3C1B8278: message-id=<>
     
  6. miglosch

    miglosch New Member

    Mich hat ein ähnliches Schicksal ereilt... mit über 200000 Mail in der Queue, da ich gerade beim Umziehen bin, habe ich es nicht gleich gemerkt...

    Lücke war wohl eine Website, die ich offline genommen habe.

    kann man das Script auch so anpassen, dass die Mails einer bestimmten Domain rausgeworfen werden?

    So in etwa:
    Code:
    mailq | tail -n +2 | awk 'BEGIN { RS = "" }
    # $7=sender, $8=recipient1, $9=recipient2
    { if ($7 == "*\.@domain.de")
    print $1 }
    ' | tr -d '*!' | postsuper -d -
     
  7. Till

    Till Administrator

    Code:
    mailq | tail -n +2 | awk 'BEGIN { RS = "" }
    # $7=sender, $8=recipient1, $9=recipient2
    { if($7 ~ /@domain\.de/)
    print $1 }
    ' | tr -d '*!' | postsuper -d -
     
  8. miglosch

    miglosch New Member

    Danke Till!
    Jetzt funktioniert wieder alles... :)
     

Diese Seite empfehlen