PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Qmail Queue überlastet (Spam, bounces)



cyp
09.07.09, 13:21
Hallo,

Ich habe seid einiger Zeit massive Probleme mit meinem VServer. Angefangen hat es mit vielen Bounce Nachrichten die auf meiner Systememail angekommen sind.
Nach einiger Zeit konnte ich plötzlich keine Emails mehr versenden. Nach einiger Recherge habe ich gesehen, dass meine Queue voll mit tausenden Mails ist die nicht versendet werden können. Scripte die die Queue leeren haben das Problem sofort beseitigt. Leider ist die Queue ab 24 Uhr wieder voll.

Im nächsten Schritt habe ich die Qmail Control Dateien angepasst.In den Dateien Bounceto und Doublebounceto habe eine Emailangegeben ohne Postfach so, dass die Nachrichten verworfen werden.

Dies hat super geklappt und ich bekomme keine Hinweise mehr, dass die Nachrichten nicht zugestellt werden können.

Leider musste ich heute feststellen, dass meine Queue wieder voll war und im Maillog massig Einträge waren.

Ich benutze Debian / Plesk / Qmail
Mailrelay habe ich getestet und es ist geschlossen

Wo kommen die Mails her? Versendet mein Server sie? Verstehe leider nicht ganz wo das Problem liegt :/

Wenn es nur Bounces sind könnte dieser Patch helfen?
http://www.qmail.org/doublebounce-trim.patch

Danke schonmal

Maillogauszug:

Jul 9 00:06:39 lvps92-**-***-*** qmail-queue-handlers[13700]: from=
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: to=rafaelabagatin@unileversa.com
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: hook_dir = '/var/qmail//handlers/before-queue'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: recipient[3] = 'rafaelabagatin@unileversa.com'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: handlers dir = '/var/qmail//handlers/before-queue/recipient/rafaelabagatin@unileversa.com'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: starter: submitter[13701] exited normally
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.557416 bounce msg 112211784 qp 13700
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.557557 end msg 112211784
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.559707 delivery 14300: failure: 212.55.154.36_does_not_like_recipient./Remote_host_said:_550-The_account_does_not_exist/550_A_conta_do_destinatario_nao_ex$
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.559840 status: local 0/10 remote 18/20
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: Handlers Filter before-queue for qmail started ...
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: Handlers Filter before-remote for qmail started ...
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: from=rafaelabagatin@unileversa.com
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: to=aderley@mesaville.com.br
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: from=
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: to=rafaelabagatin@unileversa.com
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: hook_dir = '/var/qmail//handlers/before-queue'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: recipient[3] = 'rafaelabagatin@unileversa.com'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: handlers dir = '/var/qmail//handlers/before-queue/recipient/rafaelabagatin@unileversa.com'
Jul 9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: starter: submitter[13707] exited normally
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.639462 bounce msg 112211780 qp 13704
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.639593 end msg 112211780
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.640768 starting delivery 14305: msg 112211800 to remote aderley@mtv.com.br
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.640916 status: local 0/10 remote 19/20
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: Handlers Filter before-remote for qmail started ...
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.655282 starting delivery 14306: msg 112211804 to remote adermengo1@mnnet.com.br
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: Handlers Filter before-remote for qmail started ...
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.662207 status: local 0/10 remote 20/20
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: from=rafaelabagatin@unileversa.com
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: from=rafaelabagatin@unileversa.com
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.676546 new msg 112205856
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: to=adermengo1@mnnet.com.br
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.689914 info msg 112205856: bytes 2262 from <> qp 13701 uid 2522
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.694949 new msg 112205858
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698361 info msg 112205858: bytes 2293 from <> qp 13707 uid 2522
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698466 new msg 112205820
Jul 9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698593 info msg 112205820: bytes 2256 from <> qp 13697 uid 2522
Jul 9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: to=aderley@mtv.com.br
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.419089 delivery 14303: failure: 67.19.138.211_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_th at_name._(#5.7.17)/Giving_up_on_6$
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.419656 status: local 0/10 remote 19/20
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: Handlers Filter before-queue for qmail started ...
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: from=
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: to=rafaelabagatin@unileversa.com
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: hook_dir = '/var/qmail//handlers/before-queue'
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: recipient[3] = 'rafaelabagatin@unileversa.com'
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: handlers dir = '/var/qmail//handlers/before-queue/recipient/rafaelabagatin@unileversa.com'
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: starter: submitter[13728] exited normally
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.445703 bounce msg 112211792 qp 13727
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.445872 end msg 112211792
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.446157 delivery 14302: failure: 67.19.138.211_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_th at_name._(#5.7.17)/Giving_up_on_6$
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.446911 status: local 0/10 remote 18/20
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.447213 starting delivery 14307: msg 112211806 to remote adermengo2@mnnet.com.br
Jul 9 00:06:41 lvps92-**-***-*** qmail: 1247090801.447322 status: local 0/10 remote 19/20
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: Handlers Filter before-queue for qmail started ...
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: from=
Jul 9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: to=rafaelabagatin@unileversa.com


Doublebounce Systemnachricht:

Hi. This is the qmail-send program at ******.dedicated.hosteurope.de.
I tried to deliver a bounce message to this address, but the bounce bounced!

<aragata@bol.com.br>:
200.221.29.128 does not like recipient.
Remote host said: 550 5.1.1 <aragata@bol.com.br>: Recipient address rejected: User unknown in relay recipient table Giving up on 200.221.29.128.

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 3564 invoked by uid 33); 29 Jun 2009 17:48:39 +0200
Date: 29 Jun 2009 17:48:39 +0200
Message-ID: <20090629154839.3559.qmail@****.dedicated.hosteurop e.de>
To: aragata@bol.com.br
Subject: Procedimento de Segurança
MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 From: Banco Bradesco <bradesco@cheguei.net>
Reply-To: <bradesco@cheguei.net>


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> </

Nachricht aus der Queue (Verstehe nicht was die mit mir zutun hat):

Received: (qmail 13495 invoked by uid 33); 8 Jul 2009 21:27:12 +0200
Date: 8 Jul 2009 21:27:12 +0200
Message-ID: <20090708192712.13493.qmail@lvps92-**-***-***.dedicated.hosteurope.de>
To: aekeeble@bellsouth.net
Subject: Comprovante de Deposito
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Deposito <rafaelabagatin@unileversa.com>


<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">
<html xmlns=\"http://www.w3.org/1999/xhtml\">
<head>
<meta http-equiv=\"Content-Type\" content=\"text/html; charset=iso-8859-1\" />
<title>Deposito</title>
</head>



Die UID 33 ist der www-user also nehme ich mal an, dass es der Webserver ist.
Ich bin die Logs der Vhosts durchgegangen und habe nichts auffälliges gefunden. Ein paar Einträge von Suchmaschinen die auf den Domains waren aber mehr nicht

bla!zilla
09.07.09, 13:25
Stoppe SOFORT den MTA. Hast du eine Seite mit PHP laufen? Wenn ja, dann versendet da jemand über die mail() Funktion von PHP.

cyp
09.07.09, 13:28
ja es sind PHP Seiten am laufen aber nur Seiten von mir. Wie finde ich am besten die Datei? soll ich die Webordner durchsuchen nach dem vorkommen von "mail(" ?

bla!zilla
09.07.09, 13:54
Zum Beispiel.

cyp
09.07.09, 14:27
Viel hat die Suche nicht ergeben...

Ich habe lediglich ein Skript gefunden was ein Kumpel mal für eine Webseite geschrieben hat was mail($_POST['mail'],....) benutzt.

Über ein Fremdes Formular kann ich die PHP Datei ja zum Spammen benutzen aber ich kann keinen Absender usw. anpassen wie es in den Spammails der Fall ist.


Gibt es keine bessere Methode? Eine PHP Datei die tausende Emails versendet muss doch auffindbar sein

cyp
09.07.09, 18:15
Ich habe hierzu noch eine Frage: Wenn es tatsächlich über apache/php kommt müsste es doch relativ viele Einträge im Access_log geben oder?

Die logs bestehen aber nur aus ein paar Zeilen ohne auffälligen Inhalt

derRichard
09.07.09, 19:47
hi!

nimmt dein mta einfach alle mails an und bounced dann?
das kann dem schon zu schaffen machen.

du solltest nur mails annehmen, die auch einen gültigen empfänger haben.
bei neueren qmail-installationen ist das eh per default so.
stichwort: chkuser

hth,
//richard

cyp
09.07.09, 20:03
Ja ich nehme an dass er alle mails an nimmt und dann bounced bzw das habe ich ja unterbunden durch die bounceto control-datei

Aber die spammails kommen doch eher von meinem Server wegen der UID und der Message ID?

derRichard
09.07.09, 20:05
ja. aber trifft das auf alle mails zu? du hast ja nur einen ausschnitt gezeigt.
du kannst auch mal vorsorglich nur mails zulassen die via smtp eingehen.

//richard

Roger Wilco
12.07.09, 12:39
http://serversupportforum.de/forum/mail/33779-qmail-queue-berlastet-spam-bounces.html

cyp
13.07.09, 13:57
Nicht erlaubt in zwei Foren zu fragen? :)

Der Spam war glaube ich eine Kombination von Bounces und Spam durch das PHP Skript. Also zwei unabhängige Dinge

derRichard
13.07.09, 19:16
Nicht erlaubt in zwei Foren zu fragen? :)

natürlich ist das erlaubt.
aber du könntest den link zum anderen forum schon beim ersten post angeben, damit wir nicht schon dinge vorschalgen, die in anderen foren schon erwähnt wurden.

//richard