Problem Z Qmailem

[MethOd 0]

Witam.

Mam serverek w firmie , wszystko smiga , qmail, spamassassin, clamav + rblsmtp. Od wczoraj mam mase wiadomości qmail-remote:

4043 ?		S	  0:00 qmail-remote yahoo.com anonymous@xxxxxxx.pl rippyjj@yahoo.com
4055 ?		S	  0:00 qmail-remote yahoo.com anonymous@xxxxxxx.pl recreationruth@yahoo.com

 

Tak wyglądają procesy. Jest ich około 1000 z róznych domen. I w tym momencie pojawia sie problem bo clamav zaczyna je skanować i użycie procków rosnie do 70 %. Ma ktos moze jakąś rade ?? Maszynka ma 2x XEON 2.8 GHz i az tak obciąża ??

 

Zaczeło sie 2 dni temu a w konfiguracji nic nie było zmieniane. DOdałem domeny do badmailfrom i dalej to samo.

 

POMOCY !!!

[Kamil01 0]

Moze zablokuj ip tych domen na firewall-u

[MethOd 0]

Są zablokowane i dalej leci. Pierwszy raz cos takiego widze

[alien 345]

A jaki adres IP dokladnie zablokowales na firewallu? Moze jednak nie ten co trzeba? :-). Jesli blokada po adresie mail from (co wlasciwie zablokowales?) nie odnosi skutku to sprawdz czy aby nie ma przypadkiem problemu z kolejnoscia - np. najpierw leci na antywirus, a dopiero pozniej na filtry. Aby bylo skuteczne, powinno przejsc odwrotnie.

 

Wlasciwie to bardzo malo napisales o konfiguracji swojego serwera.

[Kamil01 0]

Moze jakis Panelek nadpisuje twoje configi? Np. jakis confixx??

[ertcap 0]

4043 ?		S	  0:00 qmail-remote yahoo.com anonymous@xxxxxxx.pl rippyjj@yahoo.com
4055 ?		S	  0:00 qmail-remote yahoo.com anonymous@xxxxxxx.pl recreationruth@yahoo.com

Na 99% masz na jakiejs stronie www gdzies dziure w formularzu wysylajacym maile i roboty spamerskie poprzez Twoj serwer wysylaja spam.

 

Spojrz w logi pocztowe, zobacz o ktorej godzinie rozpoczela sie wysylka (dokladnie co do sekundy), nastepnie szukaj w logach serwera www, ktory formularz masz dziurawy (znajac date rozpoczecia wysylki nie powinno to byc zbyt trudne).

 

pzdr.

[MethOd 0]

DObra myśl z tym formularzem. A panela zadnego nie mam. Domeny blokuje przez wpis np. @hotmail.com w pliku badmailfrom. Co do formularzy jest ich niewiele bo 2. ale sprawdze na wszelki wypadek.

 

-------edit-----------

 

Logi sprawdziłem, to zaden formularz , nic niema w logach apache. Dalej nie wiem co z tym zrobić. Teraz sie troche uspokoiło ale boje sie zeby wieczorem znowu sie nie zaczeło.

[alien 345]

Moglbys wkleic fragment porzadnego loga qmaila? Jakos tak lepiej mi sie analizuje logi niz liste procesow ;-).

 

Co do badmailfrom - ja tam widze w tych procesach @yahoo, a nie @hotmail ? Po drugie, to adresy odbiorcow, wiec blokada mail from ma prawo nie dzialac ;-).

[ertcap 0]

Logi sprawdziłem, to zaden formularz , nic niema w logach apache. Dalej nie wiem co z tym zrobić. Teraz sie troche uspokoiło ale boje sie zeby wieczorem znowu sie nie zaczeło.

Moze to to: http://pl.wikipedia.org/wiki/Open_relay

 

W skrocie - wyglada na to, ze spamerzy, korzystajac z Twojego serwera SMTP wysylaja spam. Musisz teraz dojsc w jaki sposob to robia Jezeli jestes pewien, ze wysylka nie idzie z poziomu phpa to albo dales jakies konto pocztowe jednej osobie za duzo ale najprawdopodobniej Twoj serwer jest OR.

 

pzdr.

[alien 345]

Niech wklei logi, bo dzialamy po omacku :-).

A w ogole to caly czas mnie zastanawia kogo przyblokowal na tym firewallu ;-).

[MethOd 0]

Mam całą liste adresów ip do blokady. Po drugie niema takiego konta anonymous wiec jak mozna przez nie wysyłać. Server napewno nie jest relay, nawet użytkownicy lokalni są autoryzowani. Narazie po wyblokowaniu domen sie uspokoiło. Jak znowu sie powtórzy to wkleje logi.

[MethOd 0]

Problem rozwiązany, dziura była w @mail ale juz wszystko rozwiązane. Drugą rzeczą jest zabezpieczanie qmaila. Nie polecam rblsmtpd ze zbyt dużą ilością serwerów rbl. Dałem 3 serverki i użycie procka poszło na 60%.

 

Ogółem atmail sucks