SPAM-Filter führt zu rhytmischer Auslastung!!!

[Bluscht]

Hallo,

seit kurzem spinnt der SPAMfilter unseres Mailservers.
Wir haben ein XServer mit OSX 10.5.5 und benutzen den von Appel mitgelieferten MailServer.

Zeit kurzem nimmt nun "Amavisd"(Spamfilter) 98% CPU-Auslastung in Anspruch und dies in regelmäßigen Abständen, geschätzte 5 Min.!

Auf der Auslastungsgrafik im ServerAdmin sieht man dann immer gleichmäßige Auslastungs-Auschläge.

Das ganze kommt mir nun etwas komisch vor und ich kann mir nicht erklären,
was diesen Vorgang nun genau hervorgerufen hat!?

Hat da jemand Erfahrung mit?
THX

 

[oneOeight]

auch schon mal die aktivitität der einkommenden mail verbindungen betrachtet?
im moment hämmern wieder die bot netze mit spam...

 

[Bluscht]

danke für dein Tipp...dachte ich auch erst, aber da die Auslastung so extrem rhythmisch ist, kann ich mir das kaum vorstellen oder?

Es sei den, die bots schicken auch rhythmisch???

 

[oneOeight]

wirf doch einfach mal einen blick mit ins mail.log...
die bots spammen auch in wellen...

ansonsten musst mal gucken, welches perl modul da ärger macht.
amavis ruft ja spamassassin und clamd auf...
k.a. wie der bei euch konfiguriert ist...

auch schon mal ins log geguckt, was amavis da so loggt?

 

[Bluscht]

Es ist der "Find"-Prozess welcher über Amavisd angesprochen wird.
Dieser bleibt dann immer so 3 bis 4 Min mit 90 bis 100% Auslastung aktiv!

Und das im rhytmischen Zyklus...was mich etwas beunruhigt...in den Log's find ich bis jetzt noch nichts konkretes, aber suche dort mal noch weiter nach hinweisen!

 

[oneOeight]

das ist dann nicht der amavis selber, sondern /var/amavis/amavisd_cleanup
das sucht alle 10 min nach alten tmp files von amavis...

wird über launchd gestartet
/System/Library/LaunchDaemons/org.amavis.amavisd_cleanup.plist

 

[Bluscht]

hey, danke nochamls für den Tip, wir haben nun den fehler für die rhytmische Auslastung gefunden

PROBLEM war:
Die SPAM-Mails vom Junkfilter im Order Virusmails (var/virusmails) werden nicht gelöscht! Somit musste der amavisd-Filter alle 15 Min über 250.000 SPAM-Mails durchforsten!!!! nun haben wir mal alle die älter als 5 Tage sind gelöscht und er ist wieder erleichtert!


GRUND?????!!!!!
Muss man dem Spam-Filter das automatische löschen beibringen?
Oder wie löst man sowas? kann ja nicht im Sinne des Erfinders sein,
alle Mails manuell immer zu löschen oder?

THX für ein paar Tipps

 

[oneOeight]

die frage ist, warum ihr überhaupt den spam in die quarantäne schickt...
das kann man doch bei amavis einstellen...
habt ihr so angst vor falschen positiven?

 

[Bluscht]

meinst du damit die Einstellung:

Unaufgeforderte Emails werden: zugestellt/gelöscht/abgelehnt ????

Da hatten wir nämlich das Problem, dass bei der Einstellung "gelöscht"
auch der SMTP-Server plötzlich zickt und beim raussenden einer Mail vom local-User sowas bringt...kannst du damit was anfangen?

"A Message from X to Y was considered unsolicited bulk e-mail (UBE)."

Eventuell kann man die Local-user und Mailaccounts ohne SMTP-Filter laufen lassen?

 

[oneOeight]

ich kenne jetzt die server admin app nicht, bislang hab ich amavisd immer per config file eingestellt...
dort kann man halt die quarantäne komplett abschalten mit $QUARANTINEDIR = undef;
und natürlich auch die benachrichtigung ob virus/spam...

 

[Bluscht]

Ja, das sollte das gleiche sein....aber warum dann der SMTP anfängt die localen mails nciht mehr zu vershciken und zurückweist ist dir auf anhieb wohl auch erstmal unklar oder?

THX

 

[oneOeight]

wird wohl an der amavis config liegen, die lokale domain (wie immer die heisst) ist wohl nicht angegeben...
ist die der postfix config denn angegeben unter mydestination?

 

[Bluscht]

Ah, sehr cool.....hab das gefunden....

$mydomain = 'myDomain.org';

aber wie trage ich denn die 2 weiterens domains von uns in die conf ein?
kann ich da mit komma separiert noch weitere eintragen?

Danke für die Hilfe

 

[oneOeight]

es gibt da:
@local_domains_maps = ( [".$mydomain", "$mydomain"]);

da kannst die alle eintragen...

 

[Bluscht]

wäre es so also richtig?

@local_domains_maps = ( [".$test.de", "$test.de", ".$domain.de", "$domain.de", ".$xyz.de", "$xyz.de"]);

oder was führt dieser "Punkt" vor der ersten Domain aus?

oder wäre es so korrekt?
@local_domains_maps = ( [".$mydomain", "localhost"], read_hash("/etc/postfix/local_domains"), "test.org", "domain.de", xyz.biz );

THX

 

[oneOeight]

der punkt packt die ganzen sub-domains dazu wie z.b. mail.test.de usw...