ubuntuusers.de

Hallo liebe Community,

seit dem letzten angebotenen Update meines Postfix-Servers habe ich fortlaufend nachfolgende Einträge in meinem Mail-Log:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

Nov  4 13:55:06 mail postfix/smtpd[9648]: connect from localhost[127.0.0.1]
Nov  4 13:55:06 mail postfix/smtpd[9648]: B2034181879: client=localhost[127.0.0.1]
Nov  4 13:55:06 mail postfix/cleanup[9641]: B2034181879: message-id=<20171104125502.E0118181862@mail.xyz.de>
Nov  4 13:55:06 mail postfix/smtpd[9648]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Nov  4 13:55:06 mail postfix/qmgr[11276]: B2034181879: from=<>, size=5233, nrcpt=1 (queue active)
Nov  4 13:55:06 mail amavis[5284]: (05284-18) Passed CLEAN {RelayedOutbound}, LOCAL [::1]:53948 <> -> <abc@abc.de>, Queue-ID: E0118181862, Message-ID: <20171104125502.E0118181862@mail.xyz.de>, mail_id: 5XXBCpufovb8, Hits: -0.001, size: 4737, queued_as: B2034181879, 3752 ms
Nov  4 13:55:06 mail postfix/smtp[9642]: E0118181862: to=<abc@abc.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.2, delays=0.37/0.02/0.01/3.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B2034181879)
Nov  4 13:55:06 mail postfix/qmgr[11276]: E0118181862: removed
Nov  4 13:55:07 mail postfix/smtp[9649]: B2034181879: to=<abc@abc.de>, relay=mx00.t-online.de[194.25.134.8]:25, delay=0.28, delays=0.01/0.03/0.1/0.14, dsn=2.0.0, status=sent (250 2.0.0 Message accepted.)
Nov  4 13:55:07 mail postfix/qmgr[11276]: B2034181879: removed

(abc@abc.de = ausgetauschte Empfängeradresse mail.xyz.de = ausgetauschte Mailserveradresse)

Die Tests auf diversen Online-Seiten bzw. per Telnet besagen, dass der Server kein Open Relay ist. Die Suche mittels der Suchmaschine meines Vertrauens, brachte leider nichts Erhellendes zu diesem Thema.

Kennt jemand vielleicht dieses Problem? Was mich verwundert ist, dass ich bislang solche Fehler nicht hatte und erst seit dem letzten Update des Postfix-Servers diese Meldungen im Log auftauchen.

Wenn irgendwelche Configs benötigt werden, bitte angeben - werden gerne nachgereicht.

Herzlichen Dank für eure Hilfe!

Mike

mike175de schrieb:

Kennt jemand vielleicht dieses Problem?

Welches Problem?

Hallo sebix,

vielleicht schlecht formuliert von mir, aber dieses Verhalten eines Mailservers nach einem Update der Postfix-Komponente dürfte doch ungewöhnlich sein, wenn es zuvor keinerlei solche Einträge gab und diese jetzt in schöner Regelmäßigkeit auftauchen.

Trotz Suche im Inet konnte ich bislang nicht herausfinden, woher bzw. wodurch diese Einträge zustande kommen, daher die gezielt Frage in einem ausgewiesenen Fachforum.

VG, Mike

mike175de schrieb:

vielleicht schlecht formuliert von mir, aber dieses Verhalten eines Mailservers nach einem Update der Postfix-Komponente dürfte doch ungewöhnlich sein, wenn es zuvor keinerlei solche Einträge gab und diese jetzt in schöner Regelmäßigkeit auftauchen.

Was ist daran ungewöhnlich?

Trotz Suche im Inet konnte ich bislang nicht herausfinden, woher bzw. wodurch diese Einträge zustande kommen, daher die gezielt Frage in einem ausgewiesenen Fachforum.

Die Einträge kommen daher, dass irgendetwas auf deinem System eine Email an abc@abc.de schickt. Ich kann da nichts ungewöhnliches erkennen.

Vielen Dank, misterunknown.

Wie finde ich aber am Besten heraus, was diese Mails verschickt? Das Log gibt ja nicht gerade viel her. Evtl. mit postkick?

Vielen dank!

mike175de schrieb:

Wie finde ich aber am Besten heraus, was diese Mails verschickt? Das Log gibt ja nicht gerade viel her. Evtl. mit postkick?

IMHO geht das mit postkick nicht, denn damit kannst du nur Requests an die verschiedenen Postfix-Services schicken. Ungewöhnlich ist meines Erachtens, dass der sendende Service (welcher auch immer es ist) die Mails per SMTP einliefert. Üblicherweise werden Mails, die lokal generiert werden, per maildrop eingeliefert, wo sie dann der pickup-Daemon weiterverarbeitet.

Herauszukriegen, welcher Prozess die Mails einliefert ist im Nachhinein meines Wissens nicht mehr möglich. Du müsstest den Prozess also direkt in flagranti erwischen. Der wichtigste "blinde Fleck" ist dabei der Inhalt der Mail. Diesen kannst du auf verschiedene Weise herauskriegen. Entweder du schneidest direkt den TCP-Traffic mit, der lokal generiert wird, und wertest ihn anschließend per Wireshark aus:

tcpdump -s 0 -w local_postfix_traffic.tcpdump host 127.0.0.1 and port 25

Alternativ kannst du dir auch einfach eine Blindkopie der Nachricht senden lassen:

/etc/postfix/main.cf:
    recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps

/etc/postfix/recipient_bcc_maps:
    abc@abc.de    DEINE@MAILADRESSE

$ postmap /etc/postfix/recipient_bcc_maps
$ postfix reload

Noch ein Schuss ins Blaue: Wenn du einen Webserver am laufen hast, dann lohnt sich eventuell ein Blick dorthin. Mir ist es schon oft untergekommen, dass Spam über kompromittierte Webseiten geschickt wurde.

Nochmals vielen Danke für Deine Hilfe, misterunknown.

Ich hab es inzwischen auf einem anderen Weg herausgefunden, was bzw. wer hier die Mails im 5 Minuten-Takt versendet hat.

Es war der eigene Mail-Daemon, was aber überhaupt nicht ersichtlich war. Ich hatte vom Absender abc@abc.de eine Mail erhalten, die über der Größe der in der Main.conf definierten max. Mailgröße lag und der versendende Mailserver hat das Teil immer wieder geschickt und mein Mailserver eben mit "Mail zu groß für Zustellung" geantwortet. Das war aber wirklich überhaupt nirgends auch nur im Ansatz aus den Logs zu erkennen.

Mittels

defer_transports = hold
default_transport = hold

hab ich dann mal jedweden Mailversand ausgebremst, so dass ich endlich mal an einen Inhalt einer solchen Antwortmail meines Servers kam. Zuerst um zu sehen, ob irgendein PHP-Script o.ä. hier was verschickt. Bei der genaueren Analyse konnte ich dann sehen, dass es nur die Antwort des Daemons bzgl. der Mailgröße war. Hab jetzt kurz mal die message_limit_size nach oben gesetzt und schwupp war die Mail in der Inbox und mein Mailserver hat aufgehört sich zu beschweren ;o)

Vielen dank trotzdem für die Hilfe.

Mike