sendmail: MSP (спам?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

ZeD3
Сообщения: 6

sendmail: MSP

Сообщение ZeD3 »

Здравствуйте,

день назад начал замечать, что sendmail стал очень сильно нагружать процессор(минимум по 50% нагрузки на каждом из двух ядер). В htop'е процес виден как sendmail: MSP: ./n3HKe3Gw021209 [127.0.0.1]: user open.

Теперь о конфигурации sendmail'a. Настроен он на relay почты только для определенных ip адрессов. Все остальные письма с не разрешенных ip адресов дропятся.

Вот mail.log.

Код: Выделить всё

mmail:/var/log# tail mail.log
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qY025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191406, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qZ025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191406, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qe025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qh025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qd025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qg025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qb025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qf025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qi025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qc025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]


Судя по этому логу, творится на сервере, что то странное, хост сам себе отправляет письма и сам же их дропит. Если я не правильно лог понял, поправьте.

В /var/spool/mqueue-client находится 248748 сообщений. Это явно спам. Как бороться с этим? Каким образом попадают сообщения в очередь на relay ко мне?

P.S. я новичок, поэтому строго не судите. любые конфиги выложу, только бы помогло.
Спасибо сказали:

ZeD3
Сообщения: 6

Re: sendmail: MSP

Сообщение ZeD3 »

Проблему пока не решил :( Помогите кто знает.

iУведомление от модератора Ленивая Бестолочь
"апать" темы у нас нельзя.
если ваш вопрос кому-то интересен - на него и так ответят.
Спасибо сказали:

Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)

Re: sendmail: MSP

Сообщение danger08 »

ZeD3 писал(а):
22.04.2009 12:51
Проблему пока не решил :(

Я так понимаю, локалхост у вас в запрещенном списке? Какой в этом смысл?
Блогосайт - http://www.fateyev.com
Спасибо сказали:

ZeD3
Сообщения: 6

Re: sendmail: MSP

Сообщение ZeD3 »

danger08 писал(а):
22.04.2009 13:26
ZeD3 писал(а):
22.04.2009 12:51
Проблему пока не решил :(

Я так понимаю, локалхост у вас в запрещенном списке? Какой в этом смысл?


Так стояло по дефолту. Я менять не стал. Нужно поместить локалхост в разрешенный список? Мне это не поможет ( Увы
Спасибо сказали:

Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)

Re: sendmail: MSP

Сообщение danger08 »

ZeD3 писал(а):
22.04.2009 16:48
danger08 писал(а):
22.04.2009 13:26
ZeD3 писал(а):
22.04.2009 12:51
Проблему пока не решил :(

Я так понимаю, локалхост у вас в запрещенном списке? Какой в этом смысл?


Так стояло по дефолту. Я менять не стал. Нужно поместить локалхост в разрешенный список? Мне это не поможет ( Увы

Там просто письмо пытается доставиться на localhost, а доставку постоянно дропает.
В связи с этим, возможно, возникает bounce-сообщение, и потом еще раз пытается доставиться (...по кругу..)
Блогосайт - http://www.fateyev.com
Спасибо сказали:

ZeD3
Сообщения: 6

Re: sendmail: MSP

Сообщение ZeD3 »

danger08 писал(а):
22.04.2009 21:24
Там просто письмо пытается доставиться на localhost, а доставку постоянно дропает.
В связи с этим, возможно, возникает bounce-сообщение, и потом еще раз пытается доставиться (...по кругу..)


Вот список Spam Control из webmin'а.

Код: Выделить всё

Source..                   Action..
Сonnect: localhost    RELAY
GreetPause:localhost    0
ClientRate:localhost    0
ClientConn:localhost    0
Connect: 127                RELAY
GreetPause:127     0
ClientRate:127       0
ClientConn:127      0
Connect: [IPv6:::1]    RELAY
GreetPause:[IPv6:::1]    0
ClientRate:[IPv6:::1]    0
ClientConn:[IPv6:::1]    0
GreetPause:                5000
ClientRate:            10
ClientConn:           10
Spam:postmaster@    FRIEND
Spam:abuse@        FRIEND
Spam:spam@         FRIEND
reject@                  REJECT
Connect: 0             REJECT
Connect: 224           REJECT
Connect: 255          REJECT


Локалхост в RELAY находится, если я правильно понимаю.
Спасибо сказали:

Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)

Re: sendmail: MSP

Сообщение danger08 »

ZeD3 писал(а):
24.04.2009 13:33
Локалхост в RELAY находится, если я правильно понимаю.

А smtp-порт открыт на локалхосте?
попробуйте на mail-сервере локально: telnet localhost 25, соединится?
Блогосайт - http://www.fateyev.com
Спасибо сказали:

ZeD3
Сообщения: 6

Re: sendmail: MSP

Сообщение ZeD3 »

danger08 писал(а):
24.04.2009 16:28
А smtp-порт открыт на локалхосте?
попробуйте на mail-сервере локально: telnet localhost 25, соединится?


порт открыт на локалхосте. получается подключиться к нему через telnet и он виден через nmap.
Спасибо сказали:

Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)

Re: sendmail: MSP

Сообщение danger08 »

ZeD3 писал(а):
27.04.2009 10:16
danger08 писал(а):
24.04.2009 16:28
А smtp-порт открыт на локалхосте?
попробуйте на mail-сервере локально: telnet localhost 25, соединится?

порт открыт на локалхосте. получается подключиться к нему через telnet и он виден через nmap.

тогда, может, отрабатывает спам-контроль или еще какие правила в конфиге..
возможно также, что проблема в DNS (точнее, в его отсутствии).

рубается ведь даже от локалхоста к локалхосту, судя по логам.
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qg025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Блогосайт - http://www.fateyev.com
Спасибо сказали:

ZeD3
Сообщения: 6

Re: sendmail: MSP

Сообщение ZeD3 »

danger08 писал(а):
27.04.2009 13:41
тогда, может, отрабатывает спам-контроль или еще какие правила в конфиге..
возможно также, что проблема в DNS (точнее, в его отсутствии).


Дело в том, что DNS работает и сконфигурирован правильно, при чем он находится на том же физическом сервере, на котором запущен smtp.
А вот про спам контроль, не могли бы вы мне рассказать подробнее, что в нем может быть не так? На что обратить внимание?

danger08 писал(а):
27.04.2009 13:41
рубается ведь даже от локалхоста к локалхосту, судя по логам.
Apr 21 13:01:19 mmail sm-msp-queue[27569]: n3L0K1qg025839: to=www-data, delay=08:39:50, xdelay=00:00:00, mailer=relay, pri=2191455, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]



Если есть письмо, которое рекурсивно отсылается и дропится. Как мне его посмотреть, а потом убить? Возможно ли это?

Так же иногда появляется процесс sendmail: MSP: running queue: /var/spool/mqueue-client

Это заполнение очереди на передачу, но вот вопрос, что дает команду на заполнение пула? chkrootkit'ом все проверил, руткитов говорит нет.
Спасибо сказали: