Очистка очереди postfix по критериям

[ZMyk]

А mailfromd что пишет ? Вся затея была из-за строки "sender was authenticated as" в логе. Попадает ? И, вообще, хоть что-то попадает в лог от него ?

В логе от mailfromd ничего не вижу.
Сегодня заметил что spamd начал фильтровать спам, адресованный не в мой домен. Что-то не нравится мне эта дырища.
А как проверить подключился ли фильтр? Вроде в фильтрах стоит mailfromd

[asy]

В логе от mailfromd ничего не вижу.

А, хотябы, что-то про старт ? Он сам запускается ? ps ax|grep mailfrom что показывает ?

А как проверить подключился ли фильтр? Вроде в фильтрах стоит mailfromd

Вот тут уже знаток Postfix нужен. Мне негде проверить пока, как оно работает. Но были люди, которые писали в рассылках, что пользуются им, вместе с Постфиксом, успешно.

[asy]

В общем, так. В  main.cf надо было написать:
smtpd_milters = inet:localhost:4002
Почему не unix socket - Postfix работает в chroot.
Соответственно, в mailfromd.conf закомментировать listen "unix.... и раскомментировать listen "inet...

Только не заработало, как хотелось - Postfix таки не экспортирует нужные макросы в milter: http://www.postfix.org/MILTER_README.html, читать Sendmail macro emulation. Не очень удобно: похоже, нельзя дополнительно добавить макросы на нужные стадии.

[asy]

Зато впомнил, как постфикс свой лог ведёт. В общем, надо иcкать так.

Найдя сообщение с подозрительным поведением, например, попыткой послаться на кучу подозрительных E-Mail, надо сделать выборку по ID очереди. В качестве примера сообщение с 9BE9B20037D36, которое на itar-tass.com долбится. Делаем выборку:

cat all |grep 9BE9B20037D36

Нас тут интересует message-id=<20131001141615.33E7A20037D26....>. Далее делаем выборку по нему и находим другой ID очереди: 33E7A20037D26. Кстати, подозрительно напоминает часть message-id, первый раз заметил. Далее выборка уже по новому ID:

cat all |grep 33E7A20037D26

И видим, как оно попало на сервер:

Oct  2 00:16:15 xxxxxxxxx postfix/smtpd[30765]: 33E7A20037D26: client=digi00443.torproxy-readme-arachnide-fr-35.fr[95.130.10.70], sasl_method=LOGIN, sasl_username=........skiy

Вот пароль этого sasl_username и менять срочно. И вирусняки у него гонять.

А всё, что в torproxy резолвится, в reject, кстати, не повредит загнать.

[ZMyk]

Зато впомнил, как постфикс свой лог ведёт. В общем, надо иcкать так.

Найдя сообщение с подозрительным поведением, например, попыткой послаться на кучу подозрительных E-Mail, надо сделать выборку по ID очереди. В качестве примера сообщение с 9BE9B20037D36, которое на itar-tass.com долбится. Делаем выборку:

cat all |grep 9BE9B20037D36

Нас тут интересует message-id=<20131001141615.33E7A20037D26....>. Далее делаем выборку по нему и находим другой ID очереди: 33E7A20037D26. Кстати, подозрительно напоминает часть message-id, первый раз заметил. Далее выборка уже по новому ID:

cat all |grep 33E7A20037D26

И видим, как оно попало на сервер:

Oct  2 00:16:15 xxxxxxxxx postfix/smtpd[30765]: 33E7A20037D26: client=digi00443.torproxy-readme-arachnide-fr-35.fr[95.130.10.70], sasl_method=LOGIN, sasl_username=........skiy

Вот этот sasl_username и менять срочно. И вирусняки у него гонять.

А всё, что в torproxy резолвится, в reject, кстати, не повредит загнать.

Огромное человеческое спасибо. Теперь хоть понятно откуда ноги растут.

[Dmal]

Можешь написать поподробнее как искать, а то ничего не получается. Ситуация такая же, идет спам не понятно от кого.

[asy]

Можешь написать поподробнее

Подробнее, чем написано в ответе #18, не умею. Разве что, можно дописать, что этот файл "all" находится в /var/log/mail/.