Postfix enviando e recebendo o mesmo email a cada 5 minutos por mais de 4 meses

Em junho, enviei para mim a assinatura do teste EICAR para garantir que minha configuração postfix / amavis / spamassassin etc estivesse funcionando corretamente. Eu não percebi na época, mas isso de alguma forma criou uma lacuna no continuum espaço-tempo ou algo pelo qual a cada 5 minutos o servidor de correio envia para si mesmo, repetidamente.

Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: 886FA1A14B0: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: 886FA1A14B0: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: from=<>, size=1610, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin postfix/smtpd[5598]: connect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/smtpd[5598]: A9C0E1A14B1: client=localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/cleanup[5600]: A9C0E1A14B1: message-id=<[email protected]>
Oct  7 20:25:39 yavin postfix/smtp[5601]: 886FA1A14B0: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.23, delays=0.1/0.04/0.03/0.06, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: 886FA1A14B0: removed
Oct  7 20:25:39 yavin postfix/smtpd[5598]: disconnect from localhost[127.0.0.1]
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: from=<[email protected]>, size=2037, nrcpt=1 (queue active)
Oct  7 20:25:39 yavin amavis[2720]: (02720-06) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: [email protected], mail_id: AyuN8taIpfBV, Hits: -, size: 576, 606 ms
Oct  7 20:25:39 yavin postfix/smtp[5601]: A9C0E1A14B1: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.09, delays=0.04/0/0/0.04, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  7 20:25:39 yavin postfix/qmgr[2911]: A9C0E1A14B1: removed

Eu me deparei com o problema quando alterei a configuração hoje para rotear emails infectados por vírus para o endereço [email protected] em vez de para arquivos no servidor de spam. Parece que isso foi reenviado a cada 5 minutos há quatro meses.

Eu parei de interrompê-lo brevemente após reiniciar o servidor de spam às 19:00 da noite e pensei que estava resolvido, mas às 20:16 da tarde recebi a mensagem novamente e a cada 5 minutos desde então. Está começando a me deixar um pouco louco.

Socorro?

Editar: ao alterar a configuração novamente para armazenar vírus no servidor e não em uma caixa de correio, o problema continua:

Oct  7 22:05:40 yavin amavis[5476]: (05476-01) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-QhKp9pHFTZiG, mail_id: QhKp9pHFTZiG, Hits: -, size: 576, 795 ms

Em vez de e-mails, recebo arquivos a cada 5 minutos.

Edit 2: Novos logs completos após a reversão da configuração e reinicialização do Postfix e Amavis:

Oct  8 02:43:40 yavin postfix/smtpd[12710]: connect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/smtpd[12710]: 2DD331A1600: client=localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/cleanup[12706]: 2DD331A1600: message-id=<[email protected]>
Oct  8 02:43:40 yavin postfix/smtpd[12710]: disconnect from localhost[127.0.0.1]
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: from=<[email protected]>, size=2040, nrcpt=1 (queue active)
Oct  8 02:43:40 yavin amavis[10975]: (10975-14) Blocked INFECTED (Eicar-Test-Signature), <[email protected]> -> <[email protected]>, quarantine: virus-nB9ZAvBkol-I, mail_id: nB9ZAvBkol-I, Hits: -, size: 579, 475 ms
Oct  8 02:43:40 yavin postfix/smtp[12711]: 2DD331A1600: to=<[email protected]>, relay=192.168.178.251[192.168.178.251]:25, delay=0.11, delays=0.05/0/0/0.05, dsn=2.6.0, status=sent (250 2.6.0  <[email protected]> Queued mail for delivery)
Oct  8 02:43:40 yavin postfix/qmgr[10957]: 2DD331A1600: removed

O problema é a sua configuração do Amavis.

O destino da quarentena parece ser um endereço de email. Portanto, o Amavis injeta o correio de vírus de volta no Postfix para ser entregue nesse endereço. O Postfix agora decide digitalizar o e-mail primeiro e delegar no Amavis. O Amavis reconhece o vírus e tenta colocá-lo em quarentena entregando no endereço de email em quarentena. Então ...

Você recebe o círculo vicioso, certo? Coloque os emails em quarentena na pasta ou no banco de dados ou defina uma exceção para não verificar os emails em quarentena em busca de vírus.

Editar para a edição do questionador

Agora os IDs da mensagem são diferentes. Significando que são mensagens diferentes com (surpreendentemente) o mesmo conteúdo. Isso me faz acreditar que é um trabalho cron ou algum tipo de software de monitoramento que continua enviando o mesmo conteúdo (não o e-mail idêntico).

E no final, James descobriu que seu software de monitoramento Nagios continua enviando ...

Oh garoto.

Então, eu descobri. Acontece que era um script do Nagios que verifica se o amavis está em execução e, mais importante para esse problema em particular, verifica se o mecanismo AV está funcionando ... enviando o vírus EICAR para ele.

http://exchange.nagios.org/directory/Plugins/Anti-2DVirus/Amavis/check_amavis/details é o script em questão, se alguém estiver interessado.

Obrigado a todos que tentaram ajudar, você definitivamente me ajudou a descobrir tudo!

Pode ser esse o caso, dependendo da configuração do postfix e do amavis. Se o postfix tentar enviá-lo para algum lugar e o amavis interceptar o envio (como indicado na terceira última linha), a mensagem permanecerá na fila. Normalmente, a fila seria excluída após 72 horas de não enviá-la, mas se o amavis também bloquear a exclusão da mensagem (como é outro acesso a um arquivo virii), a mensagem nunca sai da fila.

Você já tentou simplesmente excluir a fila de envio para esta mensagem ou mesmo o endereço através das ferramentas administrativas do postfix?