# Infizierter Server & Abuse Nachricht



## shadowcast (12. Juni 2014)

Guten morgen,

ich bin gerade völlig am rotieren, da ich gerade von meinem Provider Netcup eine Abuse Meldung erhalten habe.
Aber... ruhig bleiben.

Meine Config ist Debian Wheezy mit ISPConfig nach dem Perfekt Server Tutorial. Dazu habe ich Ossec und die CSF-Firewall laufen.

Ich erhalte seit letzten Donnerstag viele Meldungen wie:

```
Jun 12 10:06:59 MEINHOST postfix/smtpd[19133]: warning: unknown[31.47.84.23]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
```
Nach 6 solcher Meldungen wird die IP von CSF gesperrt.

Die Meldungen reißen aber seitdem nicht ab. Ich erhalte ca. 100 Mails am Tag über diese Sperren.

Daraufhin meldet das System oft einen verdächtigen Prozess:

```
lfd on MEINSERVER: Suspicious process running under user postfix
Time:    Fri Jun  6 13:05:33 2014 +0200
PID:     31338 (Parent PID:4211)
Account: postfix
Uptime:  80 seconds  

Executable:
/usr/lib/postfix/error  
Command Line (often faked in exploits):
error -n retry -t unix -u -c
```
mit folgendem Log:

```
Jun  8 14:05:58 MEINHOST named[2784]: socket.c:5274: unexpected error:
```
Den Error Prozess habe ich im CSF dann lediglich auf die Ignore Liste gesetzt.

Heute dann die Abuse Mail: (Auszug)

```
X-HmXmrOriginalRecipient: leiffers@hotmail.com
X-Reporter-IP: 84.131.18.152
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 5.45.105.158) smtp.mailfrom=Vodafone@wMEINHOST.MEINEDOMAIN.de; dkim=none header.d=EINKUNDE.de;
x-hmca=none header.id=assistenz@EINKUNDE.de
X-SID-PRA: assistenz@EINKUNDE.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD00
X-Message-Info:
11chDOWqoTk4sVVujvN0yvEE5LdEp/0mkW3R5+Zq3UmUCEglB/UQvOGx97hwMI1wLanT3paXGXSPuEeiYybw5jbTZ
1ka8ou2cfAOra2sBkTeRltpZh6dCyX5dPi98H2r7S2jy63O7V0/se4puZk0/s3V1OydfdYbw3ceBnwfT3aeyA3gAn
rHOAE6Wiu11Khv13j7DeLxYkX3sv5aS8juqxoJVKdoW5vC
Received: from MEINHOST.MEINEDOMAIN.de ([5.45.105.158]) by BAY004-MC5F25.hotmail.com over TLS secured
channel with Microsoft SMTPSVC(7.5.7601.22678);
     Tue, 10 Jun 2014 03:22:38 -0700
Received: from localhost (localhost [127.0.0.1])
    by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTP id 09F43100ECC
    for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:37 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at MEINHOST.MEINEDOMAIN.de
Received: from MEINHOST.MEINEDOMAIN.de ([127.0.0.1])
    by localhost (MEINHOST.MEINEDOMAIN.de [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id DDTGXQdsYJVk for <leiffers@hotmail.com>;
    Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Received: from andm02 (mail.mikro-polo.si [90.157.147.26])
    (Authenticated sender: assistenz@EINKUNDE.de)
    by MEINHOST.MEINEDOMAIN.de (Postfix) with ESMTPA id 8C37B100ECA
    for <leiffers@hotmail.com>; Tue, 10 Jun 2014 12:22:36 +0200 (CEST)
Date: Tue, 10 Jun 2014 12:22:26 +0200
From: Vodafone
<assistenz@EINKUNDE.de>
To: leiffers@hotmail.com
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer www.blat.net
Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Subject: Rechnung Mai 2014, #G55388-480F3
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
 charset=\"ISO-8859-1\"
Return-Path: Vodafone@MEINHOST.MEINEDOMAIN.de
X-OriginalArrivalTime: 10 Jun 2014 10:22:38.0827 (UTC) FILETIME=[E7A35BB0:01CF8495]
```
Was ist auffällt ist der X-MAILER (Win32) was wie ich hoffe auf ein befallenes Windows beim Kunden hinweist?

Hier ein Auszug des entsprechenden Logs:

```
Jun 10 12:22:34 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: 8C37B100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:36 MEINHOST postfix/cleanup[31959]: 8C37B100ECA: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:36 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6386, nrcpt=1 (queue active)
Jun 10 12:22:36 MEINHOST postfix/smtpd[32041]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:36 MEINHOST postfix/smtpd[31299]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: 09F43100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/cleanup[32034]: 09F43100ECC: message-id=<01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>
Jun 10 12:22:37 MEINHOST postfix/smtpd[31965]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 09F43100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6849, nrcpt=1 (queue active)
Jun 10 12:22:37 MEINHOST amavis[487]: (00487-10) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1930 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <leiffers@hotmail.com>, Queue-ID: 8C37B100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de>, mail_id: DDTGXQdsYJVk, Hits: -2.176, size: 6376, queued_as: 09F43100ECC, 436 ms
Jun 10 12:22:37 MEINHOST postfix/smtp[31960]: 8C37B100ECA: to=<leiffers@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.56, delays=0.12/0/0.01/0.44, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 09F43100ECC)
Jun 10 12:22:37 MEINHOST postfix/qmgr[4389]: 8C37B100ECA: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: warning: mail.mikro-polo.si[90.157.147.26]: SASL CRAM-MD5 authentication failed: Invalid authentication mechanism
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: 47D07100ECA: client=mail.mikro-polo.si[90.157.147.26], sasl_method=PLAIN, sasl_username=assistenz@EINKUNDE.de
Jun 10 12:22:39 MEINHOST postfix/cleanup[31959]: 47D07100ECA: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6404, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST postfix/smtp[31262]: 09F43100ECC: to=<leiffers@hotmail.com>, relay=mx1.hotmail.com[207.46.8.167]:25, delay=2.3, delays=0.04/0/1.3/0.93, dsn=2.0.0, status=sent (250  <01cf8495$Blat.v3.1.1$e198b53e$bac201187a9@MEINEDOMAIN.de> Queued mail for delivery)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 09F43100ECC: removed
Jun 10 12:22:39 MEINHOST postfix/smtpd[31299]: disconnect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32041]: connect from mail.mikro-polo.si[90.157.147.26]
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: B3D92100ECC: client=localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/cleanup[32034]: B3D92100ECC: message-id=<01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>
Jun 10 12:22:39 MEINHOST postfix/smtpd[32049]: disconnect from localhost[127.0.0.1]
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: B3D92100ECC: from=<Vodafone@MEINHOST.MEINEDOMAIN.de>, size=6885, nrcpt=1 (queue active)
Jun 10 12:22:39 MEINHOST amavis[32691]: (32691-16) Passed CLEAN {RelayedOpenRelay}, [90.157.147.26]:1932 [90.157.147.26] <Vodafone@MEINHOST.MEINEDOMAIN.de> -> <anke.scherb@landvolk-celle.de>, Queue-ID: 47D07100ECA, Message-ID: <01cf8495$Blat.v3.1.1$e339e9ee$bac85580baa@MEINEDOMAIN.de>, mail_id: Tcv0eoSLI0cA, Hits: -2.176, size: 6394, queued_as: B3D92100ECC, 429 ms
Jun 10 12:22:39 MEINHOST postfix/smtp[32112]: 47D07100ECA: to=<anke.scherb@landvolk-celle.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.52, delays=0.09/0/0/0.43, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B3D92100ECC)
Jun 10 12:22:39 MEINHOST postfix/qmgr[4389]: 47D07100ECA: removed
Jun 10 12:22:40 MEINHOST postfix/smtp[30393]: B3D92100ECC: to=<anke.scherb@landvolk-celle.de>, relay=mx01.kundenserver.de[212.227.15.150]:25, delay=0.41, delays=0.03/0/0.17/0.2, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MJpRs-1WtCjj42TM-0019i2)
Jun 10 12:22:40 MEINHOST postfix/qmgr[4389]: B3D92100ECC: removed
```
Was auch sehr komisch ist ist der Graph für Postfix, welcher seit genau dem Zeitpunkt enorm nach oben ging. (siehe Anhang)

Es sind definitiv mehrere Mails von dem Account verschickt worden.

Was würdet Ihr machen? Dem Kunden die Adressen zudrehen aus ISPConfig? Oder den ganzen Account?
Noch wichtiger, was kann ich am bzw. mit dem Server machen.
Erstens ob ich wirklich soweit raus bin und zweitens wie ich zukünftig sowas früher bemerken kann?

Ich wäre euch megafroh über eure Meinungen.

LG


----------



## Till (12. Juni 2014)

das ist ein infizierter Kundenrechner. Kommt zur zeit sehr häufig vor, dss ist der Trojaner der derzeit über die fake Telekom, Vodafone, etc. Rechnungen versendet wird. Den erkennst Du recht eibfach an den mail Hedern:

(Authenticated sender: assistenz@EINKUNDE.de)

Plus  from Adresse die nicht passt, meist Vodafone q... Telekom@... etc. Am Besten das Passwort des Accounts ändern und den Kunde auffordern seinen Rechner mit einer antivirus software zu scannen.

Vorbeugend kannst Du da wenig gegen machen, denn das einzig sichere wäre wenn Deine Kunden keine Mails mehr versenden dürfen und dass ist ja nicht Sinn eines Mailservers.

Kontrolliere regelmäßig Deine Mailqueue. wenn dei Anzahl in der queue steigt, dann gibt es meist Handlungsbedarf. Die header von Mails in der queu kannst Du mit postcat ansehen.


----------



## shadowcast (12. Juni 2014)

Das ist auch meine Vermutung. Schön wenn sie noch jemand teilt.

Mit Netcup ist bereits telefoniert, die angekündigte Serversperre wurde bis auf weiteres aufgehoben.

SUPER NETTER SUPPORT, welcher auch schon meine Vermutung bestätigt hat.

Wenn ich am Server noch was machen kann bin ich absolut um jeden Rat dankbar.

PS. Ich habe im ISPConfig die Domains der Kundenemails gesperrt. Im Munin geht die Last aber nicht herunter?
Ich hatte Postfix auch für ca. 1 Minute gestoppt, das zeigt er gar nicht an????? Siehe Anhang

Okay hab mit "postsuper -d ALL" mal die komplette Queue gelöscht.


----------



## Till (12. Juni 2014)

Ich würde die Passworte der Konten ändern, denn sperren der Kundendomain verhindert nur dem Empfang von Emails aber nicht das Senden. Wenn die last nicht runter geht nachdem Du das passwort des Postfaches geändert hast, dann starte mal postxic, dovecot, courier-authdaemon und saslauthd neu (je nachdem was installiert ist). Es kann sein dass die Mails so schnell versendet werden dass Postfix / sasl das Passwort cached ohne es erneut aus der DB zu laden.


----------



## shadowcast (12. Juni 2014)

Okay. Hab alles geändert und den ganzen Server neu gestartet.

Beobachten.

Der Kunde bekommt jedenfalls erst wieder sein Passwort wenn seine Systeme sauber sind.

Ich ich bin nun nicht auf einer Spamliste gelandet. Geht ja doch schon seit paar Tagen.

DANKE FÜR DIE SCHNELLE HILFE!
Das zeigt dass ich mich für das richtige System mit der richtigen Community Anfang 2014 entschieden hab.


----------



## nowayback (14. Juni 2014)

Hi,



Zitat von shadowcast:


> Der Kunde bekommt jedenfalls erst wieder sein Passwort wenn seine Systeme sauber sind.



Vorsicht... der Kunde hat das Recht an seinen Daten - und E-Mails gehören dazu! AGB's können dich hier passend unterstützen. (aber dies soll keine Rechtsberatung werden und sein ;-))




Zitat von shadowcast:


> Ich ich bin nun nicht auf einer Spamliste gelandet. Geht ja doch schon seit paar Tagen.


Glück gehabt das du die falschen Empfänger hattest, denn sonst wärst du bereits nach wenigen Stunden überall aufgetaucht.



Zitat von shadowcast:


> DANKE FÜR DIE SCHNELLE HILFE!
> Das zeigt dass ich mich für das richtige System mit der richtigen Community Anfang 2014 entschieden hab.


Ja Till und Co. leisten gute Arbeit... Wenn du suchst, findest du Möglichkeiten ISPConfig zu unterstützen ;-)

Grüße
nwb


----------



## shadowcast (17. Juni 2014)

Ja ich denke meine AGBs sind da ganz gut aufgestellt. Wenn auch der Kunden natürlich alles abstreiten würde, denn was kann er dafür? ;-)

Was meinst du mit "falsche Empfänger".
Diejenigen die in den Queue gelistet waren?

Der Server ist zum Glück nirgendwo der Blacklist.

Ja ISPConfig sollte definitiv unterstützt werden. Absolut erstklassige Anwendung und der Support ist MEGA! Ein großes Lob.

Hab deshalb auch die Android App gekauft, auch wenn ich mir hier durchaus noch ein paar Dinge wünschen würde, mindestens, dass ich bei Ausfall auch benachrichtigt werde.


----------



## nowayback (17. Juni 2014)

Zitat von shadowcast:


> Ja ich denke meine AGBs sind da ganz gut aufgestellt. Wenn auch der Kunden natürlich alles abstreiten würde, denn was kann er dafür? ;-)
> 
> Was meinst du mit "falsche Empfänger".
> Diejenigen die in den Queue gelistet waren?
> ...


Hi,

ja mit falscher Empfänger meinte ich die, die deine Mails erhalten haben. Mehr als 24h Spams verschicken und auf keiner einzigen Blacklist zu landen ist schon fast wie eine aufforderung zum lotto spielen 

Zur App: Den gleichen Vorschlag hatte ich auch schon, siehe: http://www.howtoforge.de/forum/40496-post1.html

Grüße
nwb


----------



## shadowcast (17. Juni 2014)

Hallo,

so ich habe über die letzten Tage meinen Server genau beobachtet, sogar einen Fail2Ban Regex gebastelt, welcher derartige Sachen Bannen sollte.

Heute ging auch der besagte Kundenrechner wieder online und bisher keine verdächtigen Meldungen. Auch die Logs zeigen nichts ungewöhnliches, bis auf ein paar wenige Einträge:


```
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: connect from webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: E27961007EA: client=webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:46 MEINHOST postfix/cleanup[29383]: E27961007EA: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
Jun 16 18:15:46 MEINHOST postfix/qmgr[4337]: E27961007EA: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2005, nrcpt=1 (queue active)
Jun 16 18:15:46 MEINHOST postfix/smtpd[29450]: disconnect from webbox1316.server-home.net[195.137.212.226]
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: connect from localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: 0BFBB100978: client=localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/cleanup[29383]: 0BFBB100978: message-id=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>
Jun 16 18:15:48 MEINHOST postfix/smtpd[30111]: disconnect from localhost[127.0.0.1]
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: from=<Telekom@MEINHOST.MEINEDOMAIN.de>, size=2460, nrcpt=1 (queue active)
Jun 16 18:15:48 MEINHOST amavis[20397]: (20397-17) Passed CLEAN {RelayedInbound}, [195.137.212.226]:1630 [84.18.143.213] <Telekom@MEINHOST.MEINEDOMAIN.de> -> <NAME@EINKUNDE.de>, Queue-ID: E27961007EA, Message-ID: <01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>, mail_id: IxavmBsQkncS, Hits: -0.977, size: 2005, queued_as: 0BFBB100978, 1092 ms
Jun 16 18:15:48 MEINHOST postfix/smtp[29385]: E27961007EA: to=<NAME@EINKUNDE.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=0.09/0/0/1.1, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0BFBB100978)
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: E27961007EA: removed
Jun 16 18:15:48 MEINHOST dovecot: auth-worker(30114): mysql(localhost): Connected to database dbispconfig
Jun 16 18:15:48 MEINHOST dovecot: lda(NAME@EINKUNDE.de): sieve: msgid=<01cf897e$Blat.v3.1.1$3a9a01d0$acc37220a5a@webbox1316.server-home.net>: stored mail into mailbox 'INBOX'
Jun 16 18:15:48 MEINHOST postfix/pipe[30112]: 0BFBB100978: to=<NAME@EINKUNDE.de>, relay=dovecot, delay=0.28, delays=0.02/0.01/0/0.25, dsn=2.0.0, status=sent (delivered via dovecot service)
Jun 16 18:15:48 MEINHOST postfix/qmgr[4337]: 0BFBB100978: removed
```
Hier ist auch nochmal eine $Blat.v3.1.1 Nachricht, welchen von einer Telekom@MEINHOST.MEINEDOMAIN.de gesendet wurde. Genau wie vorher.
Der Unterschied, hier hat sich zuvor nicht direkt ein Account angemeldet, dem der Versand zuzuschreiben wäre?
Auch ging die Nachricht nicht an eine unbekannte Adresse, sondern eine Adresse welche auf dem Server existiert.

Von diesen Nachrichten habe ich ca. 2-4 seit Freitag bis heute.

Was haltet ihr davon?


----------



## wotan2005 (17. Juni 2014)

schau dir doch mal die Mail mit der ID E27961007EA und 0BFBB100978 an.

In den Mail-Header kannst du erkennen, bei sasl_auth, wenn dieser TAG im Header ist, wer die Mail eingeliefert hat.


----------



## shadowcast (17. Juni 2014)

Vermutlich ne dumme Frage, aber:


```
find -name "E27961007EA"
```
sollte doch Dateien mit dem Suchbegriff finden oder?
Ein:


```
grep -rl 'E27961007EA'
```
dauert vermutlich ewig da er ja jede Zeile jeder Datei durchforstet?


----------



## wotan2005 (18. Juni 2014)

```
postcat /var/spool/postfix/deferred/E/E27961007EA
postcat /var/spool/postfix/deferred/0/0BFBB100978
```
Und dann nach
	
	



```
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=XXX
```
schauen, dann weißt du genau wer die Mail eingeliefert hat.


----------



## shadowcast (18. Juni 2014)

Okay da ist heute schon nichts mehr da.

Aber das ist doch das Selbe wie es in ISPConfig über:
Überwachung -> Email Warteschlange anzeigen
sein sollte?
Und hier steht nämlich bereits der Absender?

Also wohl einfach das nächste mal abwarten.


----------



## Till (18. Juni 2014)

> Aber das ist doch das Selbe wie es in ISPConfig über:
> Überwachung -> Email Warteschlange anzeigen
> sein sollte?


Jein. Mit Postcat siehst Du den kompletten mail header und Inhalt, in der Warteschlange siehst Du nur die from und to adresse. Die können aber gefälscht sein. Mit postcat siehst Du unter anderem wer der echte absender (authenticated sender) ist der sich an postfix angemeldet hat bzw. den namen des php scriptes, über den die email verwendet wurde.


----------



## shadowcast (19. Juni 2014)

Morgen,

Till schreibt in seiner ersten Antwort:


> Kontrolliere regelmäßig Deine Mailqueue. wenn dei Anzahl in der queue  steigt, dann gibt es meist Handlungsbedarf. Die header von Mails in der  queu kannst Du mit postcat ansehen.


Daraufhin habe ich mein Munin etwas angepasst:

```
mcedit /etc/munin/munin.conf

contacts me
contact.me.command mail -s „Munin notification“ MEINE_EMAIL
contact.me.always_send warning critical

...

[MEIN_SERVER]
  address 127.0.0.1
  use_node_name yes
  postfix_mailqueue.deferred.warning 5
  postfix_mailqueue.deferred.critical 10

service apache2 restart
service munin-node restart
```
Um das Ganze mal zu testen habe ich die Warning auf 1 gestellt und sollte demnächst eine Meldung erhalten.

Was denkt ihr? Sinnvoll?


----------

