2007-01-09 16:36:22;127.0.0.1;@myserver;220 myserver Eserv/3.4347 ESMTP. Welcome, Server! localhost Tue, 09 Jan 2007 16:36:22 +0500
2007-01-09 16:36:22;127.0.0.1;localhost@myserver;WhiteList, localhost
2007-01-09 16:36:22;127.0.0.1;localhost@myserver;HELO myserver
2007-01-09 16:36:22;127.0.0.1;localhost@myserver;250 myserver Hello [127.0.0.1]
2007-01-09 16:36:22;127.0.0.1;localhost@myserver;MAIL FROM:<admin@local>
2007-01-09 16:36:22;127.0.0.1;localhost@myserver;550 admin@local need fully qualified domain
2007-01-09 16:36:22;127.0.0.1;@myserver;220 myserver Eserv/3.4347 ESMTP. Welcome...
При ошибке это сообщение с огромной скоростью начинает писаться в лог, намертво подвешивая машину и доводя размеры логов до сотен мегабайт, а я даже не понимаю причины ошибки. Какой смысл писать в лог одно и тоже без всяких пауз?
В секции [Server] что в параметрах AdminEmail и DefaultDomain?
admin@local — это где-то явно задано, агент по умолчанию вместо пустышек подставляет postmaster@local
Или это вообще не агент, а нечто посторонее. Посмотрите, вас через прокси-сервер не долбают?
думаю, что дело в секции [Server], посмотрю.
вот такие странности пишутся в лог файл без перерыва, раздувая его чуть ли не до гигабайта за сутки. Информативности никакой... по крайней мере я ничего не могу понять. Объясните пожалуйста.
вот такой кусок без перерыва пишется в директорию Eserv3\DATA\log\pop2smtp со скоростью примерно 2,2 Гб в сутки. Не могу понять, что это означает.. Вообще, такая запутанная система логов вызывает недоумение. И особенно тот факт, что если ошибка появилась, то она обязательно зациклится
В acSMTP.log записи только о старте лога
Что хотя бы это означает? Сервис постоянно ломится на поп-сервер? Если поможет увеличение полл-интервала, то я готов довести его хоть до часа, лишь бы не так тормозило
acSMTP\conf\plugins\pop2smtp\index.f — найдите там в конце строку:
Перезапустите acSMTP, и посмотрим, будут ли в его логе появляться строки Pop2Smtp error:.
начинается по-старому:
потом тела писем (судя по адресам отправителя/получателя — спам)
с телами в виде:
по поику "error" ничего странного не нашел, так, кое-где сообщения о недоставке и т.п.
еще недавноу знал, что замечен аномальный почтовый траффик — очень большой. Может ли SMTP работать на внешку? По логам такой активности не заметно..
и в данный момент, надо сказать, он стоит..
Спасибо.
А в логах прокси ничего подозрительного нет? Можно ещё провериться на наличие спамботов. Например, по
Этот аномальный трафик — он исходящий или входящий?
Как это следует понимать?
На наличие спам-ботов уже начал проверять, пока безрезультатно, большое спасибо за ссылку. Трафик исходящий.
Как вы помните, я жаловался, что в тех огромных двухгиговых файлах тела писем, похожих на спам — вопрос был только в том, откуда набирается два гига, если спама приходит ну писем 300 за сутки?
После того, как поставил авторизацию на SMTP (только с внутренних адресов, конечно), лог стал выглядеть примерно так:
объясните пожалуйста, что это означает?
В логе HTTP-прокси, ищите запросы вида CONNECT xxxxxx:25
Тогда на прокси мало похоже, там исходящий и входящий примерно одинаковы. Или речь только о почтовом, то есть, по 25 порту?
Делите пополам, поскольку тела логируются дважды — и на приём, и на закачку в SMTP. Далее — если отвергнутые письма не удаляются с сервера, то возможен цикл: письмо принимается, распознаётся как спам, отвергается и при следующем опросе качается заново.
Кто-то заслал письмо с большим количеством адресатов в шапке. Причём в основном чужих. SMTP-сервер их принимать отказывается.
SaveRejected — не интересно. DeleteRejected=1 надо, чтобы отвергнутые удалялись.
Вы включили требование авторизации для исходящей почты, как я понял, вот сервер и стал её требовать для чужих адресов.
Кстати, не такие ли письма раньше наружу уходили?
что значит "внешний" IP? Схема подключения такова — в общую сеть включена циска с интернетом, доступ наружу есть только у сервера. Сейчас в SMTP указан просто локальный IP сервера. Значит ли это, что его стоит поменять на внешний — по сути адрес, предоставленный провайдером и вбитый в циску? Или это относится только к схеме, когда на сервере 2 интерфейса?
что значит "такие"? Т.е. все письма, получаемые извне дублировались на все ящики, указанные в списке получателей? Ну даже, пусть так — их же размер не мог достигать гигабайта в день!
Спасибо за ответы, после включения авторизации размер лога за полдня составляет всего 13 Мб, и это с повторением старых до включения опции "Delete Rejected", надеюсь, что теперь лог станет еще короче.
P.S. Т.к. мы являемся дилерами Eserv, устанавливать и настраивать его приходится на большом количестве сетей, везде SMTP стоит локальным, но такого бешеного трафика встречать не приходилось.
Можно на интерфейсе сделать второй IP-адрес, не принадлежащий локальной сети (из другой подсети), и пересылать на этот адрес.
Да вот такие вот рассылки. Гигабайт не гигабайт — а исходящий почтовый трафик. Левый. Точный ответ могут дать логи DATA\log\smtp\{YYYYMM}mail.txt — там видно, какие из принятых писем куда направлялись.
Видимо, на внешних ящиках был антиспам, или DeleteRejected включали.
Я так и не понял, зачем. Почта приходит из внешнего POP-сервера, потом пересылается на некоторый SMTP, потом скачивается клиентами с локального POP-сервера. Я правильно понимаю? Должны ли совпадать адреса локальных SMTP и POP? Как тогда локальные пользователи будут забирать почту? Почему входящие письма в принципе пересылаются наружу? Можно предположить, что так происходит, если локальный SMTP трафик по ошибке идет наружу вместо внутренней сети, но почему тогда в справке прямо написано — указывать "внешний" SMTP-сервер?
по какому признаку пересылаемые письма отличить от обычных исходящих? Там записи такого типа: со внешнего адреса пришло письмо на наш общий ящик и следующей строкой — со внешнего адреса письмо было переслано внутреннему пользователю ну вот:
причем таких записей с разных адресов я насчитал около сотни в одну секунду, при этом сам лог обрезан позавчерашним днем.
Чтобы письма не уходили обратно наружу — чужим адресатам, имевшим несчастье оказаться в шапке письма.
Правильно.
Не обязательно. Тут как вам удобнее. Главное — чтобы письма, забираемые извне, были для SMTP-сервера также входящими извне, а не отправляемыми из локальной сети.
Как и раньше, тут ничего не меняется.
Потому что SMTP-сервер не считает их входящими извне. Они поступили к нему из локальной сети — значит, отправитель свой.
Как раз наоборот — трафик, который для сервера должен быть входящим извне, считается локальным.
Чтобы отделить агнцев от козлищ.
Первая строка — письмо, уже вытащенное из внешнего ящика посредством Pop2Smtp, загоняется обратно в этот ящик. Потом опять забирается и снова запихивается обратно. Так и ходит по кругу.
имеется обычный внешний ящик, на Eserv локальный домен и авторизация на исходящую почту, которая не дает указывать в почтовых клиентах этот ящик (распознает такие письма как левые), в итоге на письма неудобно отвечать — почта уходит вникуда. Как совместить авторизацию с возможностью сохранения в обратном адресе реального ящика?
Реквизиты SMTP-авторизации в почтовом клиенте никак не связаны с обратным адресом. Тем более, что этих адресов вообще два — адрес отправителя и адрес для ответа.
Замените:
Перезапустите и смотрите, не появится ли чего в acSMTP.log
Pop2Smtp error: 10060, а перед ним такой же список
Pop2Smtp error: 11004
Причём по месту возникновения ошибки очень похоже на то, что нет связи с SMTP-сервером, то есть, с самим acSMTP. Проверьте работу вашего локального DNS. Похоже, он что-то не то начал выдавать.