Регистрация...

Eserv Forum / E2 / Eserv 2 support / Не доходит до пользователя почта

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Есть два вопроса которые очень беспокоят, надеюсь Вы поможите мне

Имее Esrv 2.99, сборка 3536. Настраивали его еще до меня (скорее устоновили).

Первое. Проблемы с почтой, а точнее регулярно (каждый день) на ящики пользователей не доходят те или иные письма. Анализ в течении продолжительного времени ничего не дал — письма могут быть любого размера, с любого адреса (часто бывает, что да же локально не доходят, то есть с внутреннего почтового а внутренний.)

Сейчас руководство поставило вопрос ребром и очень жестко, мол что бы вся почта доходила и точка.

В настройках Eserv — Почтовый сервер стоит: "КопироватьВсюПочтуНаАдрес — Archive@domen.com

SMTP сервер — ПроверятьЛокальностьОтправителя — нет
ПриниматьПочтуДляНесуществующих — нет
ИспользоватьАвторизациюSMTP — нет

Tosser — ПереправлятьЧужуюПочту — нет
MultiSite — нет
УдалениеДубликатовПисем — нет

Вот пример логов... а писмо реально не дошло и так регулярно.

SMTP:
10:19:52 574 MAIL FROM:<tydins@163.com>
10:19:52 574 550 this address is blocked
10:20:07 574 ThreadReturn: -4000
10:20:33 580
Connection from: 80.245.112.7:3410 10:20:33 580 QUIT 10:20:39 580 ThreadReturn: -4000 10:20:55 583 Connection from: 192.168.0.254:2200 10:20:55 583 EHLO server 10:20:58 588 Connection from: 194.190.207.19:1206 10:20:58 588 EHLO relay.1c.ru 10:20:58 588 MAIL From:<repfran@1c.ru> 10:20:58 588 250 OK
10:20:58 588 RCPT To:<user@domen.com>
10:20:58 588 250 OK

10:20:59 588 DATA
10:20:59 588 354 send the mail data, end with .

10:21:01 588 250 OK message accepted for delivery

10:21:01 588 QUIT
10:21:10 588 ThreadReturn: -4000
10:21:11 583 QUIT

Tosser:
10:14:39 454 user@domen.com!1049614121640!1
10:14:39 454 For: user@domen.com
10:14:39 454 Local user: user
10:14:39 454 Local user: archive
10:14:39 454
10:14:53 456 user@domen.com!1187015440781!LOCAL!1
10:14:53 456 For: Repfran@1c.ru
10:14:53 456 Remote user: Repfran@1c.ru
10:14:53 456 Local user: archive
10:14:53 456

Второй вопрос: вся почта унас дублируется на Archive@domen.com а как с ним работать? тупо подключать к мэйл клиенту и качать почту? или есть может другие средвства управления и поиска в ящике Archive?

P.S. Пользователи все работают с OutLook
 
Комментарии к этой версии (04.12.2008 12:38) [~nomiD] 4767fb0f
АвторДатаТекстtags
pig04.12.2008 12:51
  1. Какое конкретно письмо куда не дошло? В процитированном — в логе SMTP два письма, одно из которых явно спамерское (за что и было отбито), в логе тоссера два совершенно других письма. Там и время разное, лог тоссера на шесть минут раньше.
  1. Да, архив — это обычный почтовый ящик. Работать с ним, наверное, удобнее всего с помощью TheBat!, через диспетчер писем. Есть (был) ещё плагин с аналогичной функциональностью для FAR Manager, не знаю, жив ли. (FAR Navigator того же автора перестал обновляться пару лет назад.) Возможно, есть подходящее расширение для Thunderbird.
imported
nomiD09.12.2008 13:25
pig пишет: 1. Какое конкретно письмо куда не дошло? В процитированном — в логе SMTP два письма, одно из которых явно спамерское (за что и было отбито), в логе тоссера два совершенно других письма. Там и время разное, лог тоссера на шесть минут раньше.


Сори, сотни писем, запутался во времени логов.

Вот последний пример:
Tosser —
09:47:08 708 Frank@mail.ru!26551409828468!1
09:47:08 708 For: irina@domen.com
09:47:08 708 Local user: irina
09:47:08 708 Local user: archive

Письма нет ни в архиве не в ящике пользователя.
И нет упоминания о нем в SMTP.log вообще
imported
pig09.12.2008 15:11
Должно быть упоминание, письмо вброшено именно по SMTP. Поток 708, завершившийся примерно в 09:47:08. И тоссер написал, что письмо доставлено обоим адресатам. Есть подозрение, что теряется уже при чтении из ящика. У вас там никаких "человеков-посередине" (aka почтовый антивирус, антиспам) локально на клиентах не стоит? Фильтрация в почтовых клиентах не настроена?

Самое надёжное — посмотреть содержимое файлов mail\in\irina и mail\in\archive чем-нибудь типа блокнота. Возможно, клиент по каким-то своим соображениям вообще не желает получать это письмо, и оно болтается себе в ящике.
Да, не факт, что в заголовке "От кого" там будет именно Frank@mail.ru
imported
nomiD11.12.2008 13:17
Сейчас постараюсь обрисовать все в целом... Просто я в мистику не верю, не первый год администрирую. А ситуация блин у нас на фирме накалятся из-за почты.

Есть мейл сервер, на нем крутится Eserv, стоит nod32 v.2 и OutPost FireWall.
Пользователи работают в терминале на сервере, все пользуются OutLook 2003. На серваке стоит nod32 v.3
На мейл сервере в логах нода абсолютная чистота (да и не прибивает он писбма в ящиках на сколько я знаю, ну может проверитьвложение, но ни думаю что это эффективно), фильтрация почты в OutPost'e отключена напрочь, в логах то же ни каких упоминаниях не о спаме ни о чем таком либо.

На сервере терминалов nod почту проверяет, но просто подписывает письма при получении (ну там типа "проверено nod32").

C OutLook'ом чуть сложнее (не люблю я эту совтину), в настройках пользователей отключил все:
"Нежелательная почта" — нет автоматической фильтрации не удалять сомнительную почту, а ложить ее в папку "нежелательная"

в черных-белых списках все проверил, адресатов непришедших писем нет.

Теперь логи....

Вот пример опять пропавшего письма:
        Tosser:
09:01:21 34641 admin@liga.net!34641676406359!1
09:01:21 34641 For: natasha@domen.com
09:01:21 34641 Local user: natasha
09:01:21 34641 Local user: archive
09:01:21 34641

        SMTP:
09:01:14 34641
Connection from: 193.17.46.15:57426 09:01:14 34641 HELO lmail.liga.net 09:01:14 34641 MAIL FROM:<admin@liga.net> 09:01:14 34641 250 OK
09:01:14 34641 RCPT TO:<natasha@fort.crimea.com>
09:01:14 34641 250 OK

09:01:14 34641 DATA
09:01:14 34641 354 send the mail data, end with .

09:01:14 34641 250 OK message accepted for delivery

09:01:14 34641 QUIT
09:01:21 34641 ThreadReturn: -4000

P.S. я eserv знаю видимо ну совсем плохо, просто что насторожило: лог POP3:
09:01:34 34645
Connection from: 192.168.0.254:1657 09:01:45 34645 USER natasha 09:01:45 34645 +OK Name accepted 09:01:45 34645 PASS **** 09:01:45 34645 +OK User logged in. 09:01:45 34645 UIDL 09:01:45 34645 LIST 09:01:45 34645 STAT 09:01:45 34645 +OK 3 5817 09:01:45 34645 TOP 1 0 09:01:45 34645 TOP 2 0 09:01:46 34645 TOP 3 0 09:01:46 34645 RETR 1 09:01:46 34645 DELE 1 09:01:46 34645 RETR 2 09:01:46 34645 DELE 2 09:01:46 34645 RETR 3 09:01:46 34645 DELE 3 09:01:47 34645 QUIT 09:01:47 34645 Mailbox closed OK 09:01:47 34645 +OK Goodbye. 09:01:47 34645 ThreadReturn: -4000
что страшно, такие соединения есть и в 12 и в час ночи, пользователи в это время почту в принципе не могут забирать (тем более из нутри (IP терминал сервера)) и вот буквально сейчас вылавливал письма из Archive, блокнотом положил в ящик пользователя(он точно не конектился в это время), сохранил, проходит пару секунд, ящик пуст. У пользователя писем нет.

HELP ME 8O
imported
pig11.12.2008 13:54
nomiD пишет: я eserv знаю видимо ну совсем плохо, просто что насторожило: лог POP3:
09:01:34 34645
Connection from: 192.168.0.254:1657 09:01:45 34645 USER natasha[/quote:b3417ba4fd] Вы хотите сказать, что Наташа в это время на рабочем месте отсутствовала?
nomiD пишет: что страшно, такие соединения есть и в 12 и в час ночи, пользователи в это время почту в принципе не могут забирать (тем более из нутри (IP терминал сервера))

А извне на терминальный сервер залогиниться могут?
Есть совершенно дурацкое предположение. От терминального сервера можно отключиться, не завершая сеанса (крестиком). При этом все запущенные в сеансе приложения продолжают работать. Если висел почтовый клиент с автоопросом ящика, он будет регулярно забирать почту. Поутру пользователь начинает новую сессию. Что там думает себе почтовый клиент в этом случае — зависит от самого клиента. Если это Outlook Express, он молча проигнорирует почтовые папки, занятые копией, и создаст новые. Спросите — пропадают только неполученные письма или полученные тоже?

Сухой остаток: дело не в Eserv, ищите фантомов, которые по ночам почту скачивают.

Уточняю на всякий случай — мейл и терминал суть разные машины?
imported
nomiD11.12.2008 15:55
pig пишет:
Вы хотите сказать, что Наташа в это время на рабочем месте отсутствовала?

Нет не хочу сказать, она была на рабочем месте, но содинение не устанавливала.

pig пишет: А извне на терминальный сервер залогиниться могут?

Нет не могут в принципе.

pig пишет: Есть совершенно дурацкое предположение. От терминального сервера можно отключиться, не завершая сеанса (крестиком). При этом все запущенные в сеансе приложения продолжают работать. Если висел почтовый клиент с автоопросом ящика, он будет регулярно забирать почту. Поутру пользователь начинает новую сессию. Что там думает себе почтовый клиент в этом случае — зависит от самого клиента. Если это Outlook Express, он молча проигнорирует почтовые папки, занятые копией, и создаст новые. Спросите — пропадают только неполученные письма или полученные тоже?


Только неполученные, полученные лежат себе приспокойно в OutГлюк (будь он неладен)

pig пишет: Сухой остаток: дело не в Eserv, ищите фантомов, которые по ночам почту скачивают.


Честно. Ни разу сейчас не смешно (
Вирус? Я блин про такие пока не слышал, может кто намекнет куда копать?

pig пишет: Уточняю на всякий случай — мейл и терминал суть разные машины?

Да, мейл — это грубо шлюз, терминал отдельная песня, которая пользуется вкусностями этого шлюза-сервера.

P.S. Может кто подскажет все таки как с Win2003 отследить подключения к POP3, каким софтом это производится.
imported
pig11.12.2008 18:53
О вирусе (самоходном программном коде, который гуляет без руля и ветрил) речь не идёт. Либо целенаправленный взлом с целью кражи информации, либо кто-то поставил качалку почты и забыл, либо висят фантомные сессии... висеть могут достаточно давно...
Первое маловероятно, поскольку пропажи писем бросаются в глаза, настоящий крот такого не допустит. Что-то оставили без присмотра, скорее всего. Вы там с копией Eserv не баловались?

Включите на терминальном сервере аудит безопасности (я у себя всегда включаю всё, кроме аудита доступа к объектам), потом по журналу безопасности можно будет увидеть, какие процессы и от какого имени запускались в полночь в момент скачивания почты.
imported
Работает на Eserv/5.05555 (05.06.2016)