Hallo,

da ich doch tatsächlich mal auf ein Problem gestoßen bin, dass ich nicht durch Googlen lösen konnte, dachte ich mir, dass ich mich mal in einer Hilfe-Community anmelden könnte wie dieser hier.

Folgendes Problem: Ich habe gestern auf meinem Webserver (Debian), nachdem ich in den Logs gesehen hatte, dass ich doch häufiger als erwartet fehlschlagende ssh-Loginversuche habe, erstmal Logwatch und Fail2Ban installiert. Nun habe ich in den Logwatches von vorgestern und gestern (es schickt immer gegen Anfang eines neuen Tages die wichtigen Logauszüge vom vorigen Tag) im qmail-Abschnitt folgendes vorgefunden:


--------------------- qmail Begin ------------------------


Remote Server Responses:
Deferral(421) - 234 Time(s)
Deferral(441) - 6 Time(s)
Deferral(443) - 15078 Time(s)
Deferral(450) - 40 Time(s)
Deferral(451) - 248 Time(s)
Deferral(452) - 12 Time(s)
Deferral(453) - 30 Time(s)
Deferral(454) - 2 Time(s)
Failure(421) - 6 Time(s)
Failure(450) - 2 Time(s)
Failure(451) - 4 Time(s)
Failure(501) - 18 Time(s)
Failure(511) - 4754 Time(s)
Failure(550) - 698 Time(s)
Failure(551) - 2 Time(s)
Failure(552) - 2 Time(s)
Failure(553) - 144 Time(s)
Failure(554) - 188 Time(s)
Failure(555) - 2 Time(s)
Success(250) - 876 Time(s)

Percentage(s):
Deferral - 70.03 %
Failure - 26.04 %
Success - 3.92 %

**Unmatched Entries**
1232838023.907872+wird_dann_untersucht_und_geloest ./550-5.7.0_Wir_bedauern,_Ihnen_Unbequemlichkeiten_berei tet_zu_haben,_und/550_5.7.0_bedanken_uns_vorab_fuer_Ihre_freundliche _Unterstuetzung!/
1232838080.983594+wird_dann_untersucht_und_geloest ./550-5.7.0_Wir_bedauern,_Ihnen_Unbequemlichkeiten_berei tet_zu_haben,_und/550_5.7.0_bedanken_uns_vorab_fuer_Ihre_freundliche _Unterstuetzung!/
1232838200.388694+wird_dann_untersucht_und_geloest ./550-5.7.0_Wir_bedauern,_Ihnen_Unbequemlichkeiten_berei tet_zu_haben,_und/550_5.7.0_bedanken_uns_vorab_fuer_Ihre_freundliche _Unterstuetzung!/
1232838213.196079+_wird_dann_untersucht_und_geloes t./550-5.7.0_Wir_bedauern,_Ihnen_Unbequemlichkeiten_berei tet_zu_haben,_und/550_5.7.0_bedanken_uns_vorab_fuer_Ihre_freundliche _Unterstuetzung!/
.
.
.
---------------------- qmail End -------------------------


Die Meldung bei den Unmatched Entries wiederholt sich ca. 1400 Mal, jedes Mal mit anderer Nummer am Anfang. Nun frage ich mich 1. was diese "Unmatched Entries" generell bedeuten und 2. was diese Meldung mir da speziell sagen soll.
Edit: Habe die Meldungen mal komplett (http://nopaste.ch/548afc7377710b8.html) auf NoPaste.ch hochgeladen.

Ich hoffe jemand kann behilflich sein und danke im voraus.

Grüße

hi!

ein "unmatched entry" ist ein log-eintrag den logwatch nicht kennt.
ich vermute auch, dass logwatch jeden tag das komplette current-log von qmail parst. du solltest einstellen, dass current maximal einen tag alt sein darf.

was die meldung genau heisst kann ich dir nicht sagen, dazu müsste ich wissen ob die zeile vom qmail-send oder qmail-smtpd kommt.

hth,
//richard

Hi,

danke für die Antwort. Die qmail-Logausgabe wird bei mir an den syslogd weitergegeben. Folgende Logs scheinen diese Meldung zu enthalten:

log/mail.log
log/syslog
log/mail.info
log/syslog.0
log/mail.info.0
log/mail.log.0


Bin beim Durchsuchen der Logs auch auf z.B. sowas hier gestoßen:

Jan 27 07:03:19 m9901 qmail: 1233036199.778885 starting delivery 523892: msg 82802 to remote Preselssitsaheai@lycosmail.co.uk
Jan 27 07:03:19 m9901 qmail: 1233036199.778919 status: local 0/10 remote 1/20
Jan 27 07:03:19 m9901 qmail: 1233036199.784042 delivery 523892: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Jan 27 07:03:19 m9901 qmail: 1233036199.784056 status: local 0/10 remote 0/20
Jan 27 07:03:21 m9901 qmail: 1233036201.789593 starting delivery 523893: msg 82870 to remote webmasterhqiga@lsc.net.tw
Jan 27 07:03:21 m9901 qmail: 1233036201.789613 status: local 0/10 remote 1/20
Jan 27 07:03:24 m9901 qmail: 1233036204.806973 starting delivery 523894: msg 82566 to remote Pfandarusal@myfirstmail.com
Jan 27 07:03:24 m9901 qmail: 1233036204.806997 status: local 0/10 remote 2/20
Jan 27 07:03:24 m9901 qmail: 1233036204.811939 delivery 523894: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Jan 27 07:03:24 m9901 qmail: 1233036204.811957 status: local 0/10 remote 1/20
Jan 27 07:03:32 m9901 qmail: 1233036212.834745 starting delivery 523895: msg 82088 to remote Pelargusmevto@myfirstmail.com
Jan 27 07:03:32 m9901 qmail: 1233036212.834773 status: local 0/10 remote 2/20
Jan 27 07:03:32 m9901 qmail: 1233036212.839577 delivery 523895: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Jan 27 07:03:32 m9901 qmail: 1233036212.839595 status: local 0/10 remote 1/20
Jan 27 07:03:36 m9901 qmail: 1233036216.916089 starting delivery 523896: msg 82407 to remote gfijuiv@myfirstmail.com
Jan 27 07:03:36 m9901 qmail: 1233036216.916113 status: local 0/10 remote 2/20
Jan 27 07:03:36 m9901 qmail: 1233036216.921382 delivery 523896: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/


Bedeuten diese Zeilen, dass irgendein User über den Server Spam (siehe Empfängermailadressen) verschickt (ob absichtlich oder unabsichtlich sei mal dahingestellt)?

Ich werd mich morgen mal darum kümmern dass logwatch nicht mehr die über tausend Zeilen Müll mitschickt..

Grüße

Bedeuten diese Zeilen, dass irgendein User über den Server Spam (siehe Empfängermailadressen) verschickt (ob absichtlich oder unabsichtlich sei mal dahingestellt)?


hi!
ist das eine recht alte qmail-installation?
ich vermute, dass das alles (double)bounces sind.

hth,
//richard

ist das eine recht alte qmail-installation?

Ich weiß es nicht, qmail war bereits vorinstalliert als ich das System bekommen habe. Was hat das Alter denn mit Bouncemails zu tun?

Logwatch nimmt definitiv nur die Logeinträge vom vorigen Tag:

Date Range Processed: yesterday
( 2009-Jan-28 )
Period is day.
Das sollte dann ja auch für unmatched Entries gelten, oder nicht? Habe die Logs in denen die Meldung auftrat jetzt mal geleert.. mal sehen ob die Meldung bestehen bleibt.

Ich weiß es nicht, qmail war bereits vorinstalliert als ich das System bekommen habe. Was hat das Alter denn mit Bouncemails zu tun?

bei neueren installationen kommt das fast nicht mehr vor, da werden ungültige mails schon auf smtp-level abelehnt und nicht gebounced.

hth,
//richard

Habe die Logs in denen die Meldung auftrat jetzt mal geleert.. mal sehen ob die Meldung bestehen bleibt.

So.. war jetzt eine Woche im Urlaub.. die Meldung erscheint tatsächlich jedes Mal erneut über 1.000 mal in den Logs. Wo kann das herkommen?

dann hat dein mta so viel zun.
wie viele mails sind grad in der queue?

//richard

Mhh.. die Installation von qmail scheint recht hier recht eigenartig zu sein. Zumindest anders als irgendwo in docs beschrieben. Wie kann ich herausfinden wie viele Mails in der Queue sind, wenn "qmail-queue" nicht zu existieren scheint? Seit ein paar Tagen erhalte ich Zusätzlich noch diese Meldung hier bei den unmatched entries:

1234566009.567799 alert: unable to append to bounce message; HELP! sleeping...
1234566019.570324 alert: unable to append to bounce message; HELP! sleeping...
1234566029.571572 alert: unable to append to bounce message; HELP! sleeping...
1234566039.572496 alert: unable to append to bounce message; HELP! sleeping...
1234566049.573334 alert: unable to append to bounce message; HELP! sleeping...
1234566059.575070 alert: unable to append to bounce message; HELP! sleeping...
1234566069.576421 alert: unable to append to bounce message; HELP! sleeping...
1234566079.580134 alert: unable to append to bounce message; HELP! sleeping...
1234566089.581668 alert: unable to append to bounce message; HELP! sleeping...
1234566099.583338 alert: unable to append to bounce message; HELP! sleeping...
1234566109.587234 alert: unable to append to bounce message; HELP! sleeping...
1234566119.591180 alert: unable to append to bounce message; HELP! sleeping...

Was sagt das? So langsam mach ich mir sorgen und glaube ich sollte evtl. diese qmail-version stoppen und selbst etwas installieren. Z.B. über ein normales Debian-Paket.. oO

"qmail-queue" kenne ich nicht, aber probier doch mal "qmailctl queue".

wenn du einen qmail betreibst dann solltest eventuell auch die dokumentation dazu lesen.

zum abfragen der queue gibt es:
/var/qmail/bin/qmail-qread
und
/var/qmail/bin/qmail-qstat

//richard

Joah.. mittlerweile hatte ich gerade bevor ich deine nachricht las immerhin den /var/qmail/queue-Ordner gefunden und wollte schon versuchen anhand dessen die Anzahl der Mails zu bestimmen.. Ich sollte mir wirklich mal die Dokumentation zu gemüte führen, sorry :-S

Auf jeden Fall scheint meine qmail-Version das (für ein Standard-qmail wohl normale) Verhalten zu haben, lieber Bouncemails zu schicken als Mails an nicht existente user direkt beim MTA-zu-MTA-Transfer per Fehlercode abzuweisen. Ich werde mich wohl nach Patches umsehen müssen, die das Verhalten ändern..

Mein qstat sieht so aus:

messages in queue: 1949
messages in queue but not yet preprocessed: 0


Und das bei gerade mal ca. 15 normalen Usern (Personen) und vllt. vier PHP-Programmen die Mails verschicken.

Danke für die Hilfe weiterhin.

Edit: Interessanterweise scheinen jetzt Mails im Nichts zu verschwinden. Heute mittag berichtete mir ein User dass er von seinem Shopsystem Benachrichtigungsmails über die Bestellungen 674 und 677 erhielt, nicht aber über die dazwischen, obwohl das Shopsystem zu jeder Bestellung eine Mail verschickt und die Bestellungen auch vorhanden waren. Zusätzlich kam die Benachrichtigungsmail zu diesem Thread hier bei mir nicht an (ja, dass die Mail im Spam gelandet ist kann ich ausschließen), was bei allen vorherigen Beiträgen immer geklappt hat.. :/

Edit: Interessanterweise scheinen jetzt Mails im Nichts zu verschwinden. Heute mittag berichtete mir ein User dass er von seinem Shopsystem Benachrichtigungsmails über die Bestellungen 674 und 677 erhielt, nicht aber über die dazwischen, obwohl das Shopsystem zu jeder Bestellung eine Mail verschickt und die Bestellungen auch vorhanden waren. Zusätzlich kam die Benachrichtigungsmail zu diesem Thread hier bei mir nicht an (ja, dass die Mail im Spam gelandet ist kann ich ausschließen), was bei allen vorherigen Beiträgen immer geklappt hat.. :/

spätestens jetzt sollten bei dir alle alarmglocken gehen.
einen mta kann man nicht einfach betreiben ohne genau zu wissen wie er wann und wo reagiert.

sorry, aber installier dir was mit dem dich auch auskennst.

//richard