[Postfixbuch-users] Mailkonto gehackt amavis stoppen

robert zahlenmaler at t-online.de
Mo Dez 1 13:53:50 CET 2014


Du solltest in der mailq noch einen riesigen Haufen an Mails haben die 
noch bearbeitet/verschickt werden sollen.

Wenn Du dir diese Virenmails anschaust solltest Du einen eindeutigen 
Indikator in jeder Mail ausmachen die du loswerden willst ohne diese zu 
verschicken.

Dannach kannst Du mit der unten angeführten schleife deine mailq 
bereinigen. Beachte das hier unter umständen mehr gelöscht wird als dir 
evtl. lieb ist. Also vorsichtig damit.


for i in $(mailq | grep "^[0-9A-F]" | awk '{print $1}' | sed 's/*$//'); 
do postcat -q $i | egrep -q "<DEIN EINDEUTIGER INDIKATOR>" && postsuper 
-d $i ; done


Gruß
Robert

Am 01.12.2014 um 12:47 schrieb janikev at gmail.com:
> Hallo,
>
> ich finde den Amavis cache nicht, bzw. die tmp Verzeichnisse sind leer.
> Wie stoppe ich die Auslieferung von Emails, die Amavis über 10024 zur
> Auslieferung erhalten hat und die nun in der aus der Amavis
> Warteschlange nach und nach an Postfix zur Ausliefrung übergeben werden.
> Wo können diese Mails noch liegen, wenn sie nicht im Amavis Temp
> Verzeichnis zu finden sind?
>
> Ubuntu 10.04
> Postfix 2.8.1
> Amavis 2.6.4
> Cyrus SASL
>
> Szenario: User PC von Virus befallen, sendet über sein Mailkonto Viren.
> Nach Passwortänderung kommen noch Emails, die bereits vor der
> Kennwortänderung den saslauthd passiert haben über Port 10025 an Postfix
> zur Auslieferung übergeben werden.
>
> Sobald amavis gestoppt ist, hört es auf - sobald er startet kommen
> wieder welche, müssen also irgendwo auf dem Server liegen.
>
> Was übersehe ich ??




Mehr Informationen über die Mailingliste Postfixbuch-users