[RESOLU] SME bloquée par bouncing bounces

[agecanonix]

Bonjour,

Vous avez probablement déjà eu ce type de message envoyé par un MTA quelconque, voire celui de la SME lui-même selon les usurpations d'adresses indiquées :

I tried to deliver a bounce message to this address, but the bounce bounced!

Le problème est que j'en reçois de plus en plus et que par moments ma SME est complètement bloquée, en train de traiter ces messages...

J'ai cru à un virus ou un quelconque malware, mais mes vérifications n'ont donné aucun résultat. Puis, en fouinant un peu, j'ai trouvé cette explication de sibsib.

Que faire pour arrêter le désastre ??? Le problème est encore amplifié par le fait que, suite au problème décrit ici, je récupère tout d'un coup ce qui était resté dans le MXBackup pendant la non-mise à jour de mon IP...

J'ai déjà mis en place la solution proposée par svert knudsen. Semblerait qu'il y a un petit mieux, mais cela n'empêche pas le phénomène de prendre de l'ampleur. Je voudrais pouvoir empêcher qmail de retourner ces messages mal adressés.

Je sais qu'on peut le faire dans le server-manager sur la page courrier, mais on n'a le choix qu'entre le retour à l'envoyeur ou l'envoi à admin. Je voudrais simplement que le mail soit détruit, afin de ne pas polluer la boite de l'admin et charger plus la SME en renvoyant ces messages inutiles...

Y a-t-il une solution ?

[Gaston]

Bonsoir,

Le problème est encore amplifié par le fait que, suite au problème décrit ici, je récupère tout d'un coup ce qui était resté dans le MXBackup pendant la non-mise à jour de mon IP...

Ca c'est une bonne nouvelle

Je voudrais pouvoir empêcher qmail de retourner ces messages mal adressés.

et ça marche pas le changement de destinataire ?
Je ferrai : renvoie des mails à "admin" : ça va te remplir ta boîte mais ça va stopper l'hémoragie : tu vas arrêter de renvoyer des infos que les MTA en face te renvoie ...
fais le sur une nuit au minimum, tu passeras un peu de temps à faire le ménage, ...

Je ne sait pas ce que fait exactement la définition de Knudsen, mais ça semble être le renvoie vers une boîte bidon.
Et dans le cas présent il faut absolument que tu abandonne la "smart rule" de renvoyer le mail lorsque le destinataire est inconnu ...

bon courage
G.

[agecanonix]

Bonjour,

Le problème est encore amplifié par le fait que, suite au problème décrit ici, je récupère tout d'un coup ce qui était resté dans le MXBackup pendant la non-mise à jour de mon IP...

Ca c'est une bonne nouvelle

Ben... Oui et non... Oui dans le sens que j'ai bien localisé le problème et que si mon IP est bien renseignée chez dyndns, tout fonctionne bien mails compris. Mais non dans le sens où mon IP ne se met pas automatiquement à jour, d'où ma question sur l'autre topic...

Je ferrai : renvoie des mails à "admin" : ça va te remplir ta boîte mais ça va stopper l'hémoragie : tu vas arrêter de renvoyer des infos que les MTA en face te renvoie ...

J'y avais bien pensé, mais ça ne m'enchante guère de me retrouver avec quelques milliers de messages à trier dans la BAL de l'admin... Mais bon, s'il n'y a pas d'autre moyen... Je vais créer une nouvelle BAL pour ça : au moins je n'aurai que les messages concernant les mails.

Maintenant, j'ai (encore ) un autre problème. Je suppose qu'il est lié à cet afflux de "bouncing bounces" (qui, je viens de voir dans mes logs, m'ont valu plusieurs fois d'être greylisted chez mon FAI)... J'avais remis mon IP à jour chez dyndns la nuit dernière, et l'interminable récup de mails a recommencé.

Mais ce matin, j'ai retrouvé mon serveur complètement planté : plus aucune réaction au clavier (oui, j'ai toujours un vieux clavier et un vieil écran branchés, au cas où...), j'ai dû user du bouton reset du PC ! Je n'avais jamais vu ça avec Linux !

Mes logs s'arêtent à 5h23, sans aucune indication intéressante. Et j'ai plus de 1200 messages mis dans le répertoire "problèmes" par l'antivirus. Voici les derniers de maillog :

Code: Tout sélectionner

Feb 10 05:22:39 e-smith spamc[17879]: connection attempt to spamd aborted after 3 retries
Feb 10 05:22:39 e-smith spamc[17881]: connection attempt to spamd aborted after 3 retries
Feb 10 05:23:08 e-smith spamc[17896]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#1 of 3): Connection refused
Feb 10 05:23:09 e-smith spamc[17896]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#2 of 3): Connection refused
Feb 10 05:23:10 e-smith spamc[17896]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#3 of 3): Connection refused
Feb 10 05:23:11 e-smith spamc[17896]: connection attempt to spamd aborted after 3 retries
Feb 10 05:23:11 e-smith spamc[17902]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#1 of 3): Connection refused
Feb 10 05:23:12 e-smith spamc[17902]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#2 of 3): Connection refused
Feb 10 05:23:13 e-smith spamc[17902]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#3 of 3): Connection refused


Ca durait comme ça depuis un bon moment...

Bon, je vais tenter de remettre ça ce soir, avec les bounces renvoyés à admin. On verra bien... Mais toute idée ou explication m'intéresse : tout ça est bien un peu curieux. Et j'aimerais bien retrouver au plus vite un serveur en bon état de marche : c'est un serveur de prod...

[micjack]

Juste une idée en rapport de ca

Code: Tout sélectionner

to spamd at 127.0.0.1 failed, retrying (#1 of 3): Connection refused 

Tu n'aurait pas mis /ajouté une regle qui interdit un acces sur l'interface lo ?

Donc bien sur, aucune possibilité d'ecriture sur le disque.

[Gaston]

Donc bien sur, aucune possibilité d'ecriture sur le disque.

Ou tout bêtement un Filesystème Full (je donne régulièrement ;( )
G.

[agecanonix]

Bonjour,

Merci pour vos pistes : elles auraient en effet pu être la raison, mais en fait non :
- Je n'ai rien bricolé à mon firewall, ni à rien d'autre d'ailleurs. SME 6.01-01 de base avec simplement clamav, spamassassin et fetchmail. Donc, je ne vois pas en quoi un accès à lo serait interdit, d'autant plus qu'au début, ça marche...
- Il me reste 27,7 Go de libre : ce ne sont quand même pas les mails qui me les remplissent ? D'autant qu'ils restent libres au redémarrage...

Petite erreur : le clavier n'est pas vraiment bloqué, en ce sens que je peux changer de console (tty, avec CTRL+ALT+Fx) et taper un nom d'utilisateur (root en l'occurence). Mais tout se bloque avant de demander le mot de passe... Reste la possibilité de changer à nouveau de console (tty), mais blocage encore avant le mot de passe... La "console" admin, affichée d'office (mode "auto"), ne répond pas.

D'autres idées ? Je ne vois vraiment pas de quel côté chercher... J'ai refait l'essai en renvoyant les bounces à l'admin, mais le résultat a été pratiquement identique...

... Bon, je viens de re-vérifier mes logs, pensant poster la preuve que l'interface lo fonctionne bien au début, et je vois de drôles de choses que je comprends mal :

Code: Tout sélectionner

Feb  9 23:57:34 e-smith spamd[4730]: spamd: connection from localhost [127.0.0.1] at port 33216
Feb  9 23:57:34 e-smith spamd[4740]: spamd: connection from localhost [127.0.0.1] at port 33217
Feb  9 23:57:38 e-smith spamd[4730]: spamd: setuid to qmailq succeeded
Feb  9 23:57:39 e-smith spamd[4740]: spamd: setuid to qmailq succeeded
Feb  9 23:57:45 e-smith spamd[4679]: Can't locate Mail/SPF/Query.pm in @INC (@INC contains: ../lib /usr/lib/perl5/site_perl/5.6.1/i386-linux /usr/lib/perl5/site_perl/5.6.1 /usr/lib/perl5/5.6.1/i386-linux /usr/lib/perl5/5.6.1 /usr/lib/perl5/site_perl/5.6.0/i386-linux /usr/lib/perl5/site_perl/5.6.0 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.6.1/i386-linux /usr/lib/perl5/vendor_perl/5.6.1 /usr/lib/perl5/vendor_perl) at /usr/lib/perl5/site_perl/5.6.1/Mail/SpamAssassin/Plugin/SPF.pm line 272, <GEN33> line 209.
Feb  9 23:57:47 e-smith spamd[4675]: Can't locate Mail/SPF/Query.pm in @INC (@INC contains: ../lib /usr/lib/perl5/site_perl/5.6.1/i386-linux /usr/lib/perl5/site_perl/5.6.1 /usr/lib/perl5/5.6.1/i386-linux /usr/lib/perl5/5.6.1 /usr/lib/perl5/site_perl/5.6.0/i386-linux /usr/lib/perl5/site_perl/5.6.0 /usr/lib/perl5/site_perl /usr/lib/perl5/vendor_perl/5.6.1/i386-linux /usr/lib/perl5/vendor_perl/5.6.1 /usr/lib/perl5/vendor_perl) at /usr/lib/perl5/site_perl/5.6.1/Mail/SpamAssassin/Plugin/SPF.pm line 272, <GEN30> line 172.
Feb 10 00:00:26 e-smith spamd[4740]: spamd: processing message <000001c62b7e$4dc3d070$4bbca8c0@juggins> for qmailq:404
Feb 10 00:00:33 e-smith spamd[4730]: spamd: processing message <000001c62d7a$336a43a0$aeb2a8c0@convict> for qmailq:404
Feb 10 00:01:37 e-smith spamd[2440]: tcp timeout at /usr/lib/perl5/site_perl/5.6.1/Mail/SpamAssassin/SpamdForkScaling.pm line 195.
Feb 10 00:01:47 e-smith spamd[2440]: prefork: select timeout failed! recovering
Feb 10 00:02:09 e-smith spamd[2440]: tcp timeout at /usr/lib/perl5/site_perl/5.6.1/Mail/SpamAssassin/SpamdForkScaling.pm line 195.
Feb 10 00:02:38 e-smith spamd[2440]: prefork: select timeout failed! recovering
Feb 10 00:02:45 e-smith spamd[4675]: child processing timeout at /usr/bin/spamd line 1088.
Feb 10 00:02:48 e-smith spamd[4494]: child processing timeout at /usr/bin/spamd line 1088.
Feb 10 00:02:59 e-smith spamd[4679]: child processing timeout at /usr/bin/spamd line 1088.


Suite à ça, je n'ai plus de connexions à spamd, puis à 0h52 les "connection refused" commencent... Problème avec spamassassin ? Sature-t-il simplement devant l'afflux, ou est-ce plus grave ? Peut-être devrais-je retenter en le désactivant ? Ma petite idée serait un buffer overflow avec ces noms de chemin à rallonge et répétitions... Les bounces qui re-bouncent infiniment ? Si je désactive spamassassin, n'aurai-je pas les mêmes problèmes avec clamav (que j'hésite plus à désactiver) ou avec qmail lui-même ?

N'est-il vraiment pas possible d'éliminer dès qu'ils arrivent les mails mal adressés ?

[agecanonix]

Bonjour,

J'ai retenté hier soir de remettre à jour mon IP chez dyndns afin de reprendre la récupération des mails. J'avais préalablement désactivé spamassassin. Même topo : environ 5h après, le serveur s'est arrêté. Rien dans /var/log/maillog depuis la mention de l'arrêt de spamassassin, quant à /var/log/messages, il ne comporte que les habituels denylog... Je ne sais même plus pourquoi le serveur s'est arrêté

Petite curiosité en passant : j'avais arrêté spamassassin par le server-manager : effectif, puisque j'avais vérifié par ps -A et que l'arrêt est bien mentionné dans les logs. Mais ce matin, j'ai été surpris de voir que lors du redémarrage du serveur, spamassassin est relancé. Il est pourtant bien noté désactivé dans le server-manager...

Une piste, une idés ? J'avoue ne vraiment plus savoir quoi faire, hormis bloquer les mails avec une mauvaise adresse dès leur arrivée, mais là, j'aurais besoin qu'on m'explique comment procéder...

[agecanonix]

Bonjour,

Un petit ...

Désolé d'insister, mais je dois trouver une solution... Je pense qu'en supprimant les mails qui ne sont pas correctement adressés (azerty@mondomaine.com, azerty représentant n'importe quelle chaine de caractère n'ayant rien à voir avec un utilisateur créé) je devrais arriver à supprimer la majeure partie des mails qui me bloquent.

Le problème est que je ne connais pas assez spamassassin et SME pour me débrouiller sans aide... Je pense qu'il faudrait faire une black liste ? Mais une black liste, c'est plutôt pour supprimer en fonction des expéditeurs, non ? Comment supprimer en fonction des destinataires ?

N'y aurait-il pas moyen de mettre quelque part une règle disant : je veux tout rejeter, sauf toto@mondomaine.com, tata@mondomaine.com et titi@mondomaine.com ?

Quelques explications ou liens pour faire cela (à moins bien sûr qu'il n'y ait un meilleur moyen ?) me rendraient bien service... Merci !

[agecanonix]

[agecanonix]

Bonjour,

Voilà : grâce à deux MP de Gaston, tout est rentré dans l'ordre

J'ai adopté la méthode de dépannage d'urgence de Gaston, qu'il n'a pas voulu donner en public avant d'en connaitre le résultat et la mise en application exacte. Voilà donc mon explication du problème et comment j'ai fait pour le résoudre. Gaston et d'autres gourous de la SME pourront corriger/compléter la méthode, je pense que c'est toujours intéressant de savoir comment faire en pareil cas.

J'avais donc un gros problème de spam destiné à des utilisateurs inconnu de mon domaine. Comme prévu, ils étaient retournés à l'expéditeur avec la mention "adresse inconnue". Mais comme l'adresse de l'expéditeur était une adresse bidon (générée par un quelconque virus sur une machine qui avait mon nom de domaine quelque part dans son carnet d'adresses ?), le mail me revenait à nouveau avec la mention "mauvaise adresse". Destiné au même utilisateur inconnu, il repartait à nouveau vers l'adresse bidon qui renvoyait etc... Cercle vicieux !

J'avais donc mis en place la modif préconisée par knudsen pour les double bounce (ces fameux messages qui sont renvoyés entre deux adresses inconnues). Mais cela semblait ne pas suffire...

Mon serveur était en fait saturé par l'arrivée de tous ces mails, qui devaient passer par l'analyse de spamassassin et de clamav. En plus, je m'en suis aperçu lorsque Gaston m'a mis la puce à l'oreille, à ce traitement déjà hyper lourd compte tenu du déferlement de mails, s'ajoutaient la récupération des mails par fetchmail sur les boites externes (nous avons encore quelques adresses chez notre FAI) et surtout l'analyse automatique des ibays par clamav.

Le serveur étant invisible d'internet suite à un problème de mise à jour de dyndns décrit dans ce topic, il pouvait fonctionner, mais se bloquait dès que je remettais à jour (manuellement) l'IP chez dyndns et qu'il commençait à récupérer les mails conservés par le MX backup.

J'ai donc :
- stoppé fetchmail (option prévue dans le Server-Manager),
- stoppé spamassassin (id),
- stoppé clamav par un "service clamd stop" en console, n'ayant pas pu trouver comment faire autrement,
- mis à jour mon adresse IP chez dyndns pour relancer la récupération des mails.

Le tout, Vendredi soir, pour être sûr que la queue d'expédition de qmail était vide et que personne ne travaille et donc que le serveur puisse consacrer la majorité de ses ressources au traitement des mails. Pas de plantage cette fois. J'ai remis à jour l'adresse IP hier soir, histoire d'être sûr qu'il ne trainait plus rien dans les Mx Backup. Résultat : le serveur cette fois n'a pas planté, et plus de 20000 mails ont été rapatriés, pour la plupart des "bouncing bounces" ! Ce matin, le flus de courriers semble redevenu normal. J'ai remis en route clamav et spamassassin, cela semble aller.

Il me restera demain à faire le tri dans ces 20000 mails (bon, je pense qu'avec la fonction de recherche de thunderbird, je devrais assez facilement retrouver les mails importants, et mettre à la poubelle tous les autres... Et puis, j'aurai à mettre en place la mise à jour automatique de l'IP par dyndns, en suivant les conseils de Gaston dans l'autre topic déjà mentionné.

Merci de m'avoir tiré cette épine du pied .

[agecanonix]

Bonjour,

J'ai toujours des problèmes : j'ai effectivement bien résolu le ping-pong des bouncing mails pour adresse inconnue, mais je reçois encore 1500 à 2000 mails à des adresses inconnues (azertyuiop@mondomaine.com, azertyuiop n'étant pas un utilisateur existant). Du coup, ça continue à me saturer le serveur, les diverses tâches de qmail, clamav et spamassassin consommant une grosse partie des ressources...

Il faut absolument que je puisse éliminer dès leur arrivée ces mails indésirables. Tant pis pour ceux qui se trompent d'adresse, je voudrais mettre ces mails à la poubelle dès qu'ils arrivent. Maintenant, s'il est possible de faire un filtrage plus intelligent (poubelle seulement si l'expéditeur est une adresse inconnue, ou si c'est du spam etc.) je suis preneur.

Je crois assez fortement que des RBL pourraient sérieusement limiter cet afflux. Est-ce exact ? Lesquelles utiliser ? J'ai vu que certains avaient eu quelques déboires... Quelqu'un sait comment bien les utiliser ?

[micjack]

Peux tu décrir ton réseau, en partant du Wan vers le local ? Sachant que par un client mail tu peux tuer les indésirables à distance (qu'ils se trouvent sur le serveur de ton FAI ou du tiens en local)...

Il semblerait en tout cas que ton adresse soit la victime d'un virus du genre Netsky et dans ce cas précis, tu ne peut pas grand chose.

Juste pour le test, tente de virer cette adresse de ton serveur de mail et tu en crée une autre.

[agecanonix]

Bonjour,

Mon réseau est des plus simple :

WAN ----------- SME -------------- LAN

Nom de domaine géré en Custom DNS par dyndns (IP dynamique). Le courrier arrive donc majoritairement directement sur la SME, avec MxBackup chez dyndns. Quelques boites, pour des raisons historiques, sont encore chez le FAI et rapatriées par Fetchmail.

Sachant que par un client mail tu peux tuer les indésirables à distance (qu'ils se trouvent sur le serveur de ton FAI ou du tiens en local)...

Euh... Pas bien compris ce que tu veux dire ? En fait, je voudrais éliminer les mails avant qu'ils ne soient traités par qmail/spamassassin/clamav et déposés dans les boites locales. Et ceux-là ne passent pas par mon FAI, ils arrivent directement de l'expéditeur...

Il semblerait en tout cas que ton adresse soit la victime d'un virus du genre Netsky et dans ce cas précis, tu ne peut pas grand chose.

C'est à dire que quelqu'un d'extérieur à mon réseau aurait ce virus qui enverrait tous ces mails ? C'était un peu mon impression (j'ai même eu peur que ça vienne du LAN, mais non : tous les postes Windows ont été passés au peigne fin par clamav - depuis Linux, c'est plus sûr - et ad-aware). C'est bien la raison pour laquelle je voudrais trouver le moyen d'éliminer totalement (sans bounce) ces emails, et ce le plus tôt possible, avant qu'ils ne viennent saturer la chaine antivirus-antispam... Mais j'avoue que je suis un peu perdu dans le circuit qu'ils font, entre qmail, procmail, clamav, amavis, spamassassin, razor/pyzor etc... (je ne parle pas de fetchmail, puisqu'il ne s'agit pas de mails rapatriés du FAI...). Si quelqu'un pouvait éclairer ma lanterne et m'indiquer où et comment mettre une règle pour éliminer tous ces indésirables...

[agecanonix]

Bonjour,

J'ai finalement pu résoudre ce problème en installant mailfront-mailrules, une simpathique contrib qui permet d'écrire ses propres règles d'acceptation et/ou de rejet de courrier. Pour l'instant, mise en place avec seulement les règles par défaut, qui éliminent bien tout ce qui est adressé au domaine mais pas à un utilisateur ou alias valide. Je compte bien mettre en place prochainement quelques règles supplémentaires qui permettront de mieux éliminer le spam tout en soulageant un peu spamassassin un peu gourmand en ressources.

Merci à tous ceux qui m'ont aidé, ou simplement tenté de le faire : quand on est dans la m***, toute réponse est au moins un encouragement, et souvent une source de nouvelles idées pour la recherche de solution