Нужна помощь по Postfix!!! "Дуются" почтовые логи! Видимо от меня летит СПАМ

[aha]

Господа! Срочно нужна помощь!
Почтовик Postfix на AltLinux Server 4.0
Очень сильно дуются логи "all" и "info" в каталоге /var/log/mail, за сутки доходят до 1 гига!!!
Служебные папки в /var/spool/postfix/deffered/ битком забиты!
Почта "проворачивается" с большим трудом, письма извне доползают минут за 15-30 до локального получателя...
Читаю эти логи - нифига понять не могу
Подскажите - куда рыть?

[varalt]

Посмотрите пока тут:
http://forum.ubuntu.ru/index.php?topic=125414.0

[speccyfan]

Проверьте вот этой штукой
http://www.mxtoolbox.com
не является ли Ваш сервер Open Relay'ем
и если является, то настройте так, что бы не являлся :)
Можете посмотреть как делал я, вот тут:
https://sites.google.com/site/speccyfan/poctovyj-server

[asy]

Читаю эти логи - нифига понять не могу

Вот такого вида буовки и циферки - это IP сообщений: EEC9151F86. Далее надо просто по этому (или аналогичному) ID найти сообщение в очереди и посмотреть, что внутри написано. Оно, если в очереди зависло, должно быть где-то в /var/spool/postfix/deferred.

А, вообще, у Postfix безобразный лог: у Sendmail если выборку по ID сделаешь, видно и кто, и куда, а у Postfix или информация "кто" в лог вообще не попадает, или я искать не умею.

[aha]

Проверьте вот этой штукой
http://www.mxtoolbox.com
не является ли Ваш сервер Open Relay'ем
и если является, то настройте так, что бы не являлся :)
Можете посмотреть как делал я, вот тут:
https://sites.google.com/site/speccyfan/poctovyj-server

проверял вот здесь http://www.mailradar.com/openrelay/
результат: All tested completed! No relays accepted by remote host!

[speccyfan]

Посмотрите свою очередь при помощи mailq
Потом можно поудалять сообщения при помощи postsuper -d бла-бла (id)

[aha]

А что за ошибки в начале лога  в /var/log/mail/all

Sep 20 13:04:09 main spamd[4325]: logger: removing stderr method
Sep 20 13:04:12 main spamd[4327]: config: failed to parse line, skipping: rewrite_subject 1
Sep 20 13:04:12 main spamd[4327]: config: failed to parse line, skipping: subject_tag [SPAM: _HITS_]
Sep 20 13:04:12 main spamd[4327]: config: failed to parse line, skipping: use_terse_report 0
Sep 20 13:04:12 main spamd[4327]: config: failed to parse line, skipping: auto_learn 1
Sep 20 13:04:12 main spamd[4327]: config: failed to parse line, skipping: use_dcc 1
Sep 20 13:04:12 main spamd[4327]: config: failed to parse, now a plugin, skipping: ok_languages en ru
Sep 20 13:04:12 main spamd[4327]: config: score: requires a symbolic rule name and 1 or 4 scores
Sep 20 13:04:12 main spamd[4327]: config: SpamAssassin failed to parse line, no value provided for "score", skipping: score HTML_70_80 BODY 3
Sep 20 13:04:15 main spamd[4327]: rules: meta test DIGEST_MULTIPLE has undefined dependency 'DCC_CHECK'
Sep 20 13:04:15 main spamd[4327]: rules: meta test SUBJ_SPACES_UNDERSCORES has dependency 'SUBJ_NO_SPACES' with a zero score

[aha]

Посмотрите свою очередь при помощи mailq
Потом можно поудалять сообщения при помощи postsuper -d бла-бла (id)

глянул, висит одно сообщение от "спамера" внутреннему пользователю

-Queue ID-     --Size--     ----Arrival Time----   -Sender/Recipient-------
C17BAAB4*      2783   Tue Sep 20 13:07:35  andreas.muellner@lebensraeume.at
                                                                      user@maindomain.ru

[speccyfan]

Нужно в логе найти с какого хоста он соединился, возможно это твоя локалка, где правила не такие жесткие как снаружи.

[asy]

А, вообще, у Postfix безобразный лог: у Sendmail если выборку по ID сделаешь, видно и кто, и куда, а у Postfix или информация "кто" в лог вообще не попадает, или я искать не умею.

Хм. Не умею. Но, всё равно, неудобный лог. В общем, надо найти строку, где ID упоминается во фразе "queued as AD3C9ABCC002". В начале будет другой ID, с которым оно принято. И вот выборка по тому ID даст источник. Только учитывая delay=174933, искать это надо 174933/86400 = 2 дня назад. Очевидно, в логе до ротейта.

Или, всё же, искать файл в очереди - там уже поле Received сформировано, где IP тоже видно.

[aha]

Нужно в логе найти с какого хоста он соединился, возможно это твоя локалка, где правила не такие жесткие как снаружи.

а вот как это найти и увидеть? моя сетка 10.6.155.х
чет я в логах ее не вижу

[asy]

Нужно в логе найти с какого хоста он соединился, возможно это твоя локалка, где правила не такие жесткие как снаружи.

а вот как это найти и увидеть? моя сетка 10.6.155.х
чет я в логах ее не вижу

Вы мои сообщения читаете ? Кроме обработки лога, там был однозначный рецепт.
find /var/spool/postfix/deferred -name AD3C9ABCC002
и смотреть вовнутрь. Там похоже на кашу, но нужный текст легко видно. Это "Received: by" и так далее. Первый сначала, так как могут быть и ещё.

[aha]

Вы мои сообщения читаете ? Кроме обработки лога, там был однозначный рецепт.
find /var/spool/postfix/deferred -name AD3C9ABCC002
и смотреть вовнутрь. Там похоже на кашу, но нужный текст легко видно. Это "Received: by" и так далее. Первый сначала, так как могут быть и ещё.

ок, сейчас буду разбираться

[asy]

find /var/spool/postfix/deferred -name AD3C9ABCC002

ок, сейчас буду разбираться

AD3C9ABCC002 - ID из Вашего лога. Можно взять любой другой оттуда же, из тех, которые имеют status=deferred.

[aha]

find /var/spool/postfix/deferred -name AD3C9ABCC002

ок, сейчас буду разбираться

AD3C9ABCC002 - ID из Вашего лога. Можно взять любой другой оттуда же, из тех, которые имеют status=deferred.

ок! )))))))))))) - я уже "вкурил"!