Хелп! Плодит процессы smtpsend4, забивает 98% проца, сейчас процессов висит штук сто, навскидку. Перевёл всех юзеров на Е4 — и началось (сервак с Е3 умер физически в субботу).
Что может быть? Пользователей — порядка сотни, машина — под HyperV двупроцессорный Xeon, 2 гига мозгов, w2003. Антивирь не стоит.
Вы обновления E4 устанавливали? Какая дата у acSMTP\conf\OnStartup.rules.txt в частности, там до какой-то версии было отключено детективание зацикливаний (552 ERR loopback detected). Хотя детектирование — слабое утешение (причину не устраняет), но по крайней мере ограничивает к-во логов, в которых далее разбираться в поисках причины зацикливания.
ред: 02.03.2010 11:18
Проверил — после чистого ребута сервера было четыре процесса. С открытым менеджером отправил письмо на внешний ящик — сразу выскочили ещё два, и так и остались. Почему два — не знаю, возможно, кто-то ещё в это время отправлял либо получило письмо снаружи с Pop2Smtp. Пока писал это сообщение — количество процессов выросло до полусотни.
Какие логи рыть, чтобы понять, в чём фишка?
кое-что нарыл в лоре smtpsend (был, кстати, 900 метров аж). Убил все сервисы Е4, удалил все файлы логов — появился сразу свежий файлик лога, похоже, в него писали только оставшиеся процессы smtpsend-а. Все строки были до удивления похожи:
garpun — это мыло стоит в качестве ящика администратора в настройках E4. Реально такой ящик существует. Я так понимаю, что что-то пытается на эти адреса отправить? Ребята, помогите мне и всем на будущее — напишите мануал, чтобы хотя-бы логи разбирать было попроще. Первое поле — время, второе — это откуда была отправка? И что за запись типа <11344$48413921$20@localhost>?
Ребята, возможно, и мой косяк какой-то. Сейчас глянул — жуткое дело вообще творилось в out, в retry — десятки тысяч сообщений. В общем, не стал разбираться, что там хорошее а что нет — снёс всё к чертям, почистил всё что можно, буду ждать результата. Если будет повторятся — подниму панику снова =) Пока что всё вроде бы бегает.
Если IP отправителя локальный, то надо смотреть что там было с pop2smtp особенного.
ред: 02.03.2010 12:50
Вот сейчас лежит в out письмо, явно спамерское:
И никак, бедное, не может отправиться:
И вот так и висит. И висеть, похоже, будет до скончания времён, порождая те самые проблемы, с которыми я и начал этот топик.
Вопрос — как отрезать такое дерьмищще? Реально пользователя stg@ххх.ru у нас нету, но вариант с отрубанием НСП вообще — не пройдёт, очень часто люди ошибаются при отправке писем к нам, и всё НСП-корреспонденция попадает в приёмную, где секретарь время от времени просматривает её и выуживает полезные письма. Да, POP наружу у меня не светит — только SMTP, причём не напрямую, а через два шлюза, пробросом портов.
Это вы уже возвращенное письмо цитируете. Т.е. конкретно оно-то уже попыталось отправиться, не вышло (на оба MX'а) и завернулось обратно. Причем обратно видимо этому спамеру с локалхоста
Админский-то ящик должен реально существовать, ведь его адрес ставится в from таких вот отлупов. И если его нет, то соответственно и "отлуп на отлуп" (при невозможности доставки отлупа тому Турагенству, например) слать некуда, беда.
В этом случае среди Received будет запись "(helo=pop2smtp)".
- Наружу смотрит сервак на IPCop, с внешним статическим IP, прописаным как наш MX.
- Всё, что он получает по 25 порту, он пересылает внутрь сети предприятия как раз с этого адреса, 192.168.1.1 (заодно проверяя на вирусы и спам) на аппаратный фаерволл. Который уже пересылает всё, тупо через проброс портов, на сервер E4. Следов фаерволл в логах не оставляет, а вот шлюз — да, так-как работает как прокси.
Может быть, я вам тогда всё письмо перешлю, которое у меня сейчас лежит в out? eml в аттач прикреплю и отошлю.Упакуйте в архив, чтоб из него ничего не вырезали по дороге, и чтобы наш антиспам на него не ополчился.
ред: 02.03.2010 16:48
Письмо отослать не могу —
да, кстати, неотправляемое письмо из out тихо перекочевало в retry_outbound
А IPCop куда этот праздничный спам складывает? Или молча выкидывает? (в Eserv это тоже можно легко устроить
И ведь Eserv не 70% фильтрует, а больше 99%. И, кстати, для E4 и 90000 сообщений per folder вполне по плечу. У меня вот сейчас в INBOX'е (в support@) больше 20 тысяч сообщений (специально оставил те, что импортировал из тикетов BSM) — и легко с этим работается. В spam'е в ac@ 12000 сообщений, тоже не чищу специально.
Да, значит так и есть, IPCop превратил ваш Eserv в спам-машину.
Так сначала надо причину устранить, а то он завтра снова в спамеры вас запишет.
А файл вы можете переслать мне через локальную почту со своей странички
ред: 03.03.2010 17:24
Могу вас заверить, что такую систему ввёл не от хорошей жизни: что бы вы ни говорили, но спам-фильтр EServa всё не отсекал, пропускал всегда процентов двадцать. Отчасти оттого, что пользователи — довольно тупые создания — часто отправляли нормальную корреспонденцию, подписки, которые им просто "надоели приходить", в "спам" — типа, чтобы так фильтровалось. И, зачем-то вынимали спам-письма из "спам" — мотивируя тем, что "мне во входящих читать удобнее". Сами понимаете, на единой базе SpamProtexx-а это сказывалось далеко не лучшим образом =(
В принципе, сейчас, глядя на реализацию Е4, весьма рад тому, что можно фактически отключить спам-фильтр для выбранных пользователей — это отчасти должно решить проблемы "тупых".
90000 сообщений — проблема была скорее не для сервера, а для клиента. Thunderberd перед закачкой сначала пытался проиндексировать общий обьём предстоящей работы, и на этом затыкался.
По поводу блокировки RBL-ом — вот кроме шуток, вы первые у кого зарезалось =)
Теперь о деле — сегодня пропустил шоу, коллега говорит, что опять была затычка с кучей левых писем. Он особо разбираться не стал — не его вотчина — и просто снёс все зависшие, так что что там было — неведомо.
Скажите, пожалуйста, где в Е4 отрубить НСП — чтобы на левые адреса ничего не приходило? Попробую ослабить нагрузку на себя хотя-бы так.
Да, и ещё: если у вас такой замечательный обученный SpamProtexx, можете выслать его базу? Дело в том, что я отключил фильтрацию на IPCop-е (он теперь только помечает письма тегами от SpamAssasin-а), и в папку spam у меня попало только два письма — при 200 входящих! У SP сейчас подключена старая база, ещё с Е3 тянущаяся — есть мысли, что она не так уж и хороша.
Это понятно. В E4 вы можете использовать SpamAssassin тоже, если хотите, acFilter с ним совместим. И настройки SA из IPCop'а в виндовый SA перенести наверное тоже можно. Хотя SA и без доп.настроек те же 70% фильтрует. Т.е. примерно столько, сколько один CBL RBL.
20% спама это все же лучше чем 30% спама, я так думаю. А вот с обучением да, непоследовательных пользователей к этому лучше не допускать.
Барракуда не очень пиарит этот свой RBL, мало кто его использует...
Спросите лучше, где врубить
Он ведь с моей базой и скачивается вместе с acFilter'ом при первом обновлении.
Но она не будет сходу "замечательной", к сожалению, т.к. привыкает к хозяину (в данном случае к пользователям наших доменов). Поэтому использование чужой базы всегда надо начинать со скармливания ей старых архивов спама и не-спама.
Для чего? В обсуждаемой здесь проблеме причина не сам IPCop, а то, что сессии IPCop'а являются для Eserv'а локальными. Соответственно в паре с Eserv'ом они образуют открытый релей. И отключением фильтра на IPCop'е вы только усугубите проблему.
В IPCop'е можно настраивать домен, который он указывает в команде HELO при ретрансляции почты внутрь ЛС? Если там указать "pop2smtp", то Eserv будет считать эту почту входящей извне и не будет пересылать наружу.
Просто для проверки этого предположения — посмотрите по детальному SMTP-логу Eserv'а, отвечает ли он кому-нибудь "550 we do not relay..." (штатный ответ при попытке пересылки с чужого адреса на чужой).
ред: 03.03.2010 19:13
Давайте по порядку: я понял, что проблема в локальности сессий от SMTP-прокси до EServa-а. Что можно с этим сделать? Домен в helo пока что смог подставить реальный (то есть раньше proxsmtp отвечал helo=localhost, сейчас заявляет что-то типа helo=mail-fx0-f223.google.com). Но, я так понимаю, это не тот костыль, который мы можем приделать... Сейчас нарыл немного инфы, как подменить локальный IP-шник тем, что был изначально — но это требует ручной правки самого proxsmtp и перекомпиляции, у меня с наскоку не получилось =(
Возможности тупо занести IP-адрес в диапазон "недоверенных" в Е4 нету? Мне кажется, что ситуация, подобная моей, может повториться.
550 we do not relay... — не говорит никому. Да, считает всё входящее локальным. Кстати, неразумно — например, я долгое время работал с двумя серверами, основной был на Е3, и с него я просто сделал проброс всей своей почты на сервак с Е4, для теста. А ведь в таком случае Е4 тоже будет считать всю почту локальной, и проверки не будет: Е3 не проверяет, потому что сразу отправляет на пересылку, а Е4 не проверяет, потому что получает из доверенной зоны.
Нет, всё же очень желательно было-бы управлять зонами, и принудительно выставлять для некоторых, что они — не локальные. Хотя, конечно, эта задача для вас сейчас далеко не приоритетная, как я понимаю
Нету. Теперь понятно, что надо эту возможность сделать.
Давайте так, на скорую руку, без перекомпиляции
Лог acFilter.log с момента последнего запуска (от строки <30>
Спасибо за помощь!