Я получаю непрерывный поток сообщений в файле mail.log нашего почтового сервера postfix. Вот образец сантисиса:
postfix/qmgr[7883]: 03DF631E8F: from=<user@problem.com>, size=1021, nrcpt=15 (queue active)
Jan 18 16:16:30 fadmin3 postfix/error[12269]: 923AC288B9: to=<u1@yahoo.com>, relay=none, delay=166662, delays=166657/0.59/0/4.2, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
Jan 18 16:16:30 fadmin3 postfix/qmgr[7883]: 9D2F539889: from=<user@problem.com>, size=672, nrcpt=15 (queue active)
Jan 18 16:16:30 fadmin3 postfix/error[12267]: 9AFCD301D6: to=<u2@yahoo.com>, relay=none, delay=132365, delays=132362/0.64/0/1.8, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
Jan 18 16:16:30 fadmin3 postfix/error[12254]: 92AB62E6E2: to=<u3@yahoo.com>, relay=none, delay=129814, delays=129813/0.36/0/0.28, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
Jan 18 16:16:30 fadmin3 postfix/qmgr[7883]: 9AAB535F54: from=<user@problem.com>, size=648, nrcpt=15 (queue active)
Jan 18 16:16:30 fadmin3 postfix/smtp[12865]: 9DBD2266E1: to=<u4@d1.net>, relay=mta6.am0.yahoodns.net[98.136.217.203]:25, delay=176824, delays=176822/1.4/1.2/0.18, dsn=4.7.0, status=deferred (host mta6.am0.yahoodns.net[98.136.217.203] said: 421 4.7.0 [TS01] Messages from 54.171.74.133 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html (in reply to MAIL FROM command))
Jan 18 16:16:30 fadmin3 postfix/smtp[12873]: E47A02AE99: to=<u5@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.24.27]:25, delay=12531, delays=12525/0.99/0.06/5.2, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.24.27] said: 550-5.7.1 [54.171.74.133 12] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550 5.7.1 more information. eq5si19262603wjc.52 - gsmtp (in reply to end of DATA command))
Jan 18 16:16:30 fadmin3 postfix/error[12269]: 923AC288B9: to=<u6@yahoo.com>, relay=none, delay=166662, delays=166657/0.59/0/4.8, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[98.138.112.35] while sending RCPT TO)
Jan 18 16:16:30 fadmin3 postfix/qmgr[7883]: 94AB125128: from=<user@problem.com>, size=1036, nrcpt=9 (queue active)
Я должен добавить, что мы не получаем и не отправляем много писем, и это быстрый постоянный поток, тысячи сообщений в час отправляются множеству пользователей и все от одного пользователя.
Сначала я подумал, что почтовый сервер скомпрометирован, но не нашел ничего, чтобы это подтвердить. Я все еще ищу.
Сервис не является открытым реле. Я пытаюсь связаться с пользователем, чтобы заставить его проверить свою машину, но пока что я могу сделать с postfix, чтобы очистить все эти сообщения для этого пользователя и остановить их отправку? Я временно отключил их пароль, но похоже, что в очереди находятся тысячи сообщений, возможно, столько же отложенных, и мне интересно, как лучше всего навести порядок в этом беспорядке.
Есть идеи (кроме вируса в их системе), что могло вызвать это?
Спасибо
Очистка в итоге оказалась довольно простой. Я выполнил следующие
postsuper -d ALL deferred
а затем для хорошей меры
postsuper -d ALL
который удалил с сервера около 45000 сообщений.
Меня все еще интересуют идеи о том, что могло вызвать это.