# mailq von unbekannter Emailadresse voll



## Sigix (11. Juni 2013)

Hallo,

ich brauche eure Hilfe! meine mailq ist mit über 900 Emails von einer Emailadresse voll welche nicht in meinem System angelegt ist!

Server wurde auf open-Relay getestet, Rootkits sind auch keine vorhanden!
Auf dem System laufen ca. 3000 Mailboxen

das ganze läuft über virtual-mailboxen

hier meine main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=no
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = test.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost, mailserver.test.com
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = 194.242.xxx.xxx
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = hash:/etc/postfix/virtual,proxy:mysql:/etc/postfix/mysql-virtual-alias-maps.cf,proxy:mysql:/etc/postfix/mysql-email2email.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_client_access hash:/etc/postfix/pop-before-smtp,reject_unauth_destination,check_policy_service inet:127.0.0.1:12525, check_recipient_access hash:/etc/postf$
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access, reject_unknown_address, reject_non_fqdn_sender
smtpd_client_restrictions =
    check_client_access hash:/etc/postfix/access
    permit_mynetworks
    permit_sasl_authenticated
    check_client_access hash:/etc/postfix/pop-before-smtp
    reject_unauth_pipelining
    reject_rbl_client bl.spamcop.net
    reject_rbl_client dnsbl.dronebl.org
    reject_rbl_client cbl.abuseat.org
    reject_rbl_client ix.dnsbl.manitu.net
    reject_rbl_client combined.njabl.org
    reject_rbl_client zen.spamhaus.org
    reject_rbl_client t1.dnsbl.net.au
    check_policy_service inet:127.0.0.1:10023
transport_maps = hash:/etc/postfix/transport
header_checks = regexp:/etc/postfix/header_checks
message_size_limit = 50240000
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
smtp_data_done_timeout = 1200s

mail.err
Jun 11 09:58:19 mailserver postfix/cleanup[17696]: fatal: 1FBDDD7C2C5: move to hold queue failed: No such file or directory

postcar einer solchen mail:

mailserver:/etc/postfix# postcat /var/spool/postfix/deferred/9/945A51B8340
*** ENVELOPE RECORDS /var/spool/postfix/deferred/9/945A51B8340 ***
message_size:            2800             215               1               0            2800
message_arrival_time: Tue Jun 11 10:16:31 2013
create_time: Tue Jun 11 10:16:31 2013
named_attribute: log_message_origin=local
named_attribute: trace_flags=0
sender:
original_recipient: yayatulla@comcast.net
recipient: yayatulla@comcast.net
*** MESSAGE CONTENTS /var/spool/postfix/deferred/9/945A51B8340 ***
Received: by test.com (Postfix)
        id 945A51B8340; Tue, 11 Jun 2013 10:16:31 +0200 (CEST)
Date: Tue, 11 Jun 2013 10:16:31 +0200 (CEST)
From: MAILER-DAEMON@mailserver.text.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: yayatulla@comcast.net
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
        boundary="27FE71B8331.1370938591/test.com"
Message-Id: <20130611081631.945A51B8340@test.com>

This is a MIME-encapsulated message.

--27FE71B8331.1370938591/test.com
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host test.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<doristucker@bellsouth.net>: host gateway-f1.isp.att.net[204.127.217.16] said:
    550 [SUSPEND] Mailbox currently suspended - Please contact correspondent
    directly (in reply to RCPT TO command)

--27FE71B8331.1370938591/test.com
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; test.com
X-Postfix-Queue-ID: 27FE71B8331
X-Postfix-Sender: rfc822; yayatulla@comcast.net
Arrival-Date: Tue, 11 Jun 2013 10:15:51 +0200 (CEST)

Final-Recipient: rfc822; doristucker@bellsouth.net
Original-Recipient: rfc822;doristucker@bellsouth.net
Action: failed
Status: 5.0.0
Remote-MTA: dns; gateway-f1.isp.att.net
Diagnostic-Code: smtp; 550 [SUSPEND] Mailbox currently suspended - Please
    contact correspondent directly

--27FE71B8331.1370938591/test.com
Content-Description: Undelivered Message Headers
Content-Type: text/rfc822-headers

Return-Path: <yayatulla@comcast.net>
Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])
        by test.com (Postfix) with ESMTPA id A3C081B831C;
        Tue, 11 Jun 2013 10:15:51 +0200 (CEST)
Content-Type: multipart/mixed; boundary="===============1412344710=="
MIME-Version: 1.0
Subject: Payment receipt
To: Recipients <yayatulla@comcast.net>
From: "Ernst Kuemmerle" <yayatulla@comcast.net>
Date: Tue, 11 Jun 2013 10:15:37 +0200
X-TEST-MailScanner-Information: Please contact the ISP for more information
X-TEST-MailScanner-ID: A3C081B831C.AEED0
X-TEST-MailScanner: Found to be clean
X-TEST-MailScanner-From: yayatulla@comcast.net
X-Spam-Status: No

--27FE71B8331.1370938591/test.com--
*** HEADER EXTRACTED /var/spool/postfix/deferred/9/945A51B8340 ***
*** MESSAGE FILE END /var/spool/postfix/deferred/9/945A51B8340 ***
mailserver:/etc/postfix#

Server:
Debian mailserver 2.6.32-5-amd64#1
mysql 5.5.14
Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8o mod_perl/2.0.4 Perl/v5.10.1 

Bitte um Hilfe,...danke


----------



## Till (11. Juni 2013)

Hast Du auf dem Server auch Webseiten? Wenn ja, dann kann es sein dass eines der Website cms eine Lücke hat und die Emails darüber versnad wurden, also z.B. über die mail() Funktion von PHP.

Eine andere Möglichkeit ist dass Du die bounce mails einer Spamwelle erhältst.  Also jemand verschickt spam und gibt als from Adresse oder replyto eine Adresse Deines Servers an so dass alle abgelehnten emails nicht zurück zum wirklichen versender gehen sondern auf Deinem Server auflaufen. Gegen sowas kann man nicht allzu viel machen, das ebbt nach ein paar Stunden oder Tagen wieder ab.


----------



## Sigix (11. Juni 2013)

Zitat von Till:


> Hast Du auf dem Server auch Webseiten? Wenn ja, dann kann es sein dass eines der Website cms eine Lücke hat und die Emails darüber versnad wurden, also z.B. über die mail() Funktion von PHP.
> 
> Eine andere Möglichkeit ist dass Du die bounce mails einer Spamwelle erhältst.  Also jemand verschickt spam und gibt als from Adresse oder replyto eine Adresse Deines Servers an so dass alle abgelehnten emails nicht zurück zum wirklichen versender gehen sondern auf Deinem Server auflaufen. Gegen sowas kann man nicht allzu viel machen, das ebbt nach ein paar Stunden oder Tagen wieder ab.


Hallo Till,
danke für deine Antwort!

Ja auf dem System laufen 15 Webseiten!
ich könnte mal versuchen diese für eine Stunde offline zu nehmen!

Das mit den Bounce Mails habe ich mir auch schon gedacht.....
Mittlweile sind es schon über 1000 Mails in der Mailq also wird mir nur das löschen übrig bleiben und abwarten oder ?

Danke für deine Hilfe


----------



## Till (11. Juni 2013)

Schau mal im mail log ob Du erkennen kannst wo die mails herkommen. Wenn sie von den websites sind dann müssen sie über localhost reinkommen. Wenn sie von externen Adressen kommen würde ich auf bounce mails tippen.

Hier ein kleines shellscript zum aufräumen der Queue:


```
mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if ($7 == "MAILER-DAEMON")
print $1 }
' | tr -d '*!' | postsuper -d -
```
Das ist an sich ein Einzeiler, der Übersichtlichkeit halber aufgeteilt. Du kannst ihn so wie er da steht 1 zu 1 auf die hell kopieren und return drücken.

wichtig ist die 3. Zeile, dort kannst Du "$7" auch durch $8 oder $9 ersetzen und dann innerhalb der Anführungszeichen wo jetzt "MAILER-DAEMON" steht kann auch eine Emailadresse angegeben werden.


----------



## Sigix (11. Juni 2013)

Danke für das Script!
Mailq ist jetzt wieder im grünen Bereich!

habe das main.info log dursucht und folgende Eintragungen gefunden:

Jun 11 09:37:15 mailserver postfix/cleanup[9207]: 0C9041B8035: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 0C9041B8035??for <$
Jun 11 09:37:15 mailserver postfix/cleanup[9207]: 0C9041B8035: message-id=<>
Jun 11 09:37:17 mailserver MailScanner[20395]: Message 0C9041B8035.AC865 from 193.213.86.50 (yayatulla@comcast.net) to yahoo.com is too big for spam checks (352464 > 150000 bytes)
Jun 11 09:37:18 mailserver MailScanner[20395]: Requeue: 0C9041B8035.AC865 to 782361B80EE
Jun 11 09:37:18 mailserver MailScanner[20395]: Uninfected: Delivered 1 messages
Jun 11 09:37:18 mailserver postfix/qmgr[8412]: 782361B80EE: from=<yayatulla@comcast.net>, size=351662, nrcpt=1 (queue active)
Jun 11 09:37:18 mailserver MailScanner[20395]: Deleted 1 messages from processing-database
Jun 11 09:37:18 mailserver MailScanner[20395]: Logging message 0C9041B8035.AC865 to SQL
Jun 11 09:37:18 mailserver MailScanner[20402]: 0C9041B8035.AC865: Logged to MailWatch SQL
Jun 11 09:46:21 mailserver postfix/cleanup[9207]: 212241B8052: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 212241B8052;??Tue,$
Jun 11 09:46:21 mailserver postfix/cleanup[9207]: 212241B8052: message-id=<>
Jun 11 09:46:21 mailserver postfix/cleanup[9633]: 38ED61B813C: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 38ED61B813C;??Tue,$
Jun 11 09:46:21 mailserver postfix/cleanup[9633]: 38ED61B813C: message-id=<>
Jun 11 09:46:21 mailserver postfix/cleanup[4381]: 3D5E41B8244: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 3D5E41B8244;??Tue,$
Jun 11 09:46:21 mailserver postfix/cleanup[4381]: 3D5E41B8244: message-id=<>
Jun 11 09:46:21 mailserver postfix/cleanup[4382]: 4D7791B824C: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 4D7791B824C;??Tue,$
Jun 11 09:46:21 mailserver postfix/cleanup[4382]: 4D7791B824C: message-id=<>
Jun 11 09:46:22 mailserver postfix/cleanup[14733]: 4FE3C1B8278: hold: header Received: from faswts.fas-tec.local (50.86.213.193.static.cust.telenor.com [193.213.86.50])??by test.com (Postfix) with ESMTPA id 4FE3C1B8278;??Tue$
Jun 11 09:46:22 mailserver postfix/cleanup[14733]: 4FE3C1B8278: message-id=<>


----------



## miglosch (27. Jan. 2014)

Mich hat ein ähnliches Schicksal ereilt... mit über 200000 Mail in der Queue, da ich gerade beim Umziehen bin, habe ich es nicht gleich gemerkt... 

Lücke war wohl eine Website, die ich offline genommen habe.

kann man das Script auch so anpassen, dass die Mails einer bestimmten Domain rausgeworfen werden?

So in etwa:
	
	



```
mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if ($7 == "*\.@domain.de")
print $1 }
' | tr -d '*!' | postsuper -d -
```


----------



## Till (27. Jan. 2014)

```
mailq | tail -n +2 | awk 'BEGIN { RS = "" }
# $7=sender, $8=recipient1, $9=recipient2
{ if($7 ~ /@domain\.de/)
print $1 }
' | tr -d '*!' | postsuper -d -
```


----------



## miglosch (9. Feb. 2014)

Danke Till!
Jetzt funktioniert wieder alles...


----------

