[RESOLUS]mail qui se perdent

Support Debian
#1

bonjour,

j’utilise mon propre serveur pour ma messagerie soit postfix, or voilà à plusieur reprise qu’un de mes cotacts ne reçoit pas mes mails et je ne reçoit pas de mailer-Deamon.

quelqu’un a -t-il déjà eu ce genre de probleme car là je m’inquiète ?

#2

programme de tri automatique des spams ??

#3

hello,

Les logs sont-ils parlant ?

#4

je viens de voir dans mail.log,

j’ai vois rien d’anormal

sauf ça qui revient régulièrement

Jul 13 23:10:15 localhost in.qpopper[3338]: (v4.0.5) POP login by user "jo" at (192.168.1.1) 192.168.1.1 [pop_log.c:244]

mais on c’est du pop donc c’est en entrer mais pourquoi il precise l’user alors que sur les autre mail que je recois je vois pas les user.

étonnant je vois rien en smtp.

ce qui m’intrigue énormément c’est ces lignes dans syslog


Jul 13 07:39:01 localhost /USR/SBIN/CRON[2279]: (root) CMD (  [ -d /var/lib/php4 ] && find /var/lib/php4/ -type f -cmin +$(/usr/lib/php4/maxlifetime) -print0 | xargs -r -0 rm)
Jul 13 07:54:39 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - FTP session opened. 
Jul 13 07:54:39 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:39 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 29 usecs 
Jul 13 07:54:40 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:40 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 317 usecs 
Jul 13 07:54:40 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 210 usecs 
Jul 13 07:54:40 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:40 localhost proftpd[2286]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - FTP session closed. 
Jul 13 07:54:41 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - FTP session opened. 
Jul 13 07:54:41 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 15 usecs 
Jul 13 07:54:41 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:41 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 123 usecs 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 58 usecs 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 292 usecs 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - mod_delay/0.4: delaying for 13 usecs 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - no such user 'Administrator' 
Jul 13 07:54:42 localhost proftpd[2287]: localhost.localdomain (waldi.tatk.elte.hu[157.181.181.1]) - FTP session closed.

[/code]

#5

Ça c’est un gus qui essaye des mots de passe sur le serveur FTP, regarde plutôt du coté des logs d’Exim ou de Postfix

#6

en effet c’est un gars qui essaye de se connecter, et moi qui est un mot passe simpliste.
mais apparament d’après les log de proftp il ne c’est pas connecter.La je l’ai stopper le ftp.
je regarde jamais mes logs, c’est un tort.

Pour en revenir à postfix on les trouve ou les log de postfix car j’ai juste des mail.log

#7

quote="burinho"je regarde jamais mes logs, c’est un tort.

Pour en revenir à postfix on les trouve ou les log de postfix car j’ai juste des mail.log[/quote]
Pour tes logs installes logwatch, tu aura un resumé par mail de tous les evènements importants de logs tous les jours.

Pour postfix, tu devrais avoir un mail.info et un mail.warn aussi.
Et si ton “dropper” est maildrop, il fait aussi un log pour la desserte des mails (une fois entré dans postfix, mais ce n’est pas ton soucis, puisque tu cherches ce qui ne part pas).
Et sinon, tu as verifié le contenu de ta mailq ?

#8

[quote=“MattOTop”]quote="burinho"je regarde jamais mes logs, c’est un tort.

Pour en revenir à postfix on les trouve ou les log de postfix car j’ai juste des mail.log[/quote]
Pour tes logs installes logwatch, tu aura un resumé par mail de tous les evènements importants de logs tous les jours.

Pour postfix, tu devrais avoir un mail.info et un mail.warn aussi.
Et si ton “dropper” est maildrop, il fait aussi un log pour la desserte des mails (une fois entré dans postfix, mais ce n’est pas ton soucis, puisque tu cherches ce qui ne part pas).
Et sinon, tu as verifié le contenu de ta mailq ?[/quote]

merci pour le logwatch, je vais le tester

j’avais vérifié les log mail.info et mail.warn mais j’avais rien trouvé d’ anormal juste deux petit truc

localhost postfix/master[1193]: warning:/usr/lib/postfix showq:bad command startup -- trottling

localhost postfix/master[]: warning:/usr/lib/postfix pickup :bad command startup -- trottling

localhost postfix/master[1193]: warning: process /usr/lib/postfix/sowq pid 49918 exit sattus 1.

Je viens de tester mailq auquel javais pas penser mais effectivement cela permet de voir si le mail est bien partis mais malheureusement la commande plante

#9

Tes messages d’erreur sentent la version buguée de postfix.
Tu utilises quelle version ?

#10

pourtant il me semble que la plupart de mes mails arrivent.
j’ai bien installer logwatch, il ya rien a configurer étant donnée qu’il envoie les mails a root et quand dans mes aliases j’ai root:moi

C’est quoi la commande pour connaitre la version de postfix ?

#11

Très bien ce logwatch, il n’existait pas sous woody, j’ai fait un paquet woody à partir des source de sarge (deb boisson.homeip.net/woody/ ./ )

Par contre, il est assez long à l’éxécution.

Sinon, pour ta question fais bêtement

$ dpkg -l | grep postfix

#12

[quote=“fran.b”]Très bien ce logwatch, il n’existait pas sous woody, j’ai fait un paquet woody à partir des source de sarge (deb boisson.homeip.net/woody/ ./ )

Par contre, il est assez long à l’éxécution.

Sinon, pour ta question fais bêtement

$ dpkg -l | grep postfix[/quote]

merci,
j’utilise jamais la commande dpkg,
voilà la version c’est ii postfix 2.1.5-9

concernant logwatch je l’ai installé hier soir, par contre pour l’instant j’ai pas encore eu de mail

#13

je pense que ce n’est pas normal que tu n’aies pas reçu de mail.
Tu as mis quoi comme destinataire ?

#14

[quote=“MattOTop”]je pense que ce n’est pas normal que tu n’aies pas reçu de mail.
Tu as mis quoi comme destinataire ?[/quote]
C’est root mon destinataire

Cela m’a aussi inquiété, et là ce soir je me suis apercu que je ne recevais plus de mail, donc j’ai redemarré mon serveur pour voir.

En fait en modifiant mon main.cf j’avais un “:” au bout je supose que c’était en quittant le fichier de conf avec vi.

Je pense que c’est pour cette même raison que ma commande mailq plantait en beauté.

Ce soir j’ai bien recu tout mes mails meme celui de logwatch.

#15

voilàje viens d’avoir un rapport logwatch complet, maintenant il va falloir intépreter tout ça et voir ce qui colle pas.
Je suppose que posté mon rapport serait succidaire au niveau securité de mon serveur?

#16

Logwatch il passe tout en revu même le kernel et tout les périphériques.

voilà ce qui concerne postfix

 --------------------- postfix Begin ------------------------ 



339183 bytes transferred
10 messages sent
10 messages removed from queue

Top ten senders:
   2 messages sent by:
      root (uid=0): 


Relaying denied:
   From 125-225-0-149.dynamic.hinet.net[125.225.0.149] to sr2_serch@yahoo.com.tw : 1 Time(s)


Connections lost:
   Connection lost after command RCPT : 1 Time(s)


Process exited:
   Exit status 1:
      /usr/lib/postfix/pickup: 1293 Time(s)
      /usr/lib/postfix/qmgr: 1293 Time(s)
      /usr/lib/postfix/showq: 1293 Time(s)
      /usr/lib/postfix/smtpd: 1008 Time(s)


Unrecognized warning:
    /usr/lib/postfix/pickup: bad command startup -- throttling : 1293 Time(s)
    /usr/lib/postfix/qmgr: bad command startup -- throttling : 1293 Time(s)
    /usr/lib/postfix/showq: bad command startup -- throttling : 1293 Time(s)
    /usr/lib/postfix/smtpd: bad command startup -- throttling : 1008 Time(s)

par contre l’erreur ci-dessous je l’ai au moins 200 fois.

**Unmatched Entries**

fatal: dict_open: unsupported dictionary type: localhost.localdomain:  Is the postfix-localhost.localdomain package installed?
fatal: dict_open: unsupported dictionary type: localhost.localdomain:  Is the postfix-localhost.localdomain package installed?
fatal: dict_open: unsupported dictionary type: localhost.localdomain:  Is the postfix-localhost.localdomain package installed?[/code]

par contre je suis inquiet pour les log du ssh qui montre qu' apparament  des essais de connextions,  comment savoir si les personnes ont reussis a se connecter.

--------------------- SSHD Begin ------------------------ 


SSHD Killed: 1 Time(s)

SSHD Started: 1 Time(s)

Illegal users from these:
   admin/none from 193.205.180.56: 6 Time(s)
   admin/none from 58.241.118.114: 2 Time(s)
   apache/none from 193.205.180.56: 1 Time(s)
   guest/none from 193.205.180.56: 2 Time(s)
   guest/none from 58.241.118.114: 1 Time(s)
   info/none from 193.205.180.56: 1 Time(s)
   library/none from 193.205.180.56: 1 Time(s)
   linux/none from 193.205.180.56: 1 Time(s)
   master/none from 193.205.180.56: 1 Time(s)
   oracle/none from 193.205.180.56: 1 Time(s)
   shell/none from 193.205.180.56: 1 Time(s)
   test/none from 193.205.180.56: 4 Time(s)
   test/none from 58.241.118.114: 2 Time(s)
   unix/none from 193.205.180.56: 1 Time(s)
   user/none from 58.241.118.114: 1 Time(s)
   webadmin/none from 193.205.180.56: 1 Time(s)
   webmaster/none from 193.205.180.56: 2 Time(s)

 ---------------------- SSHD End -------------------------

tout conseils sont les bienvenus pour bien administrer un serveur[/code]

#17

Pour ssh, regardes lers lignes
session opened for user …

Cela dit, j’ai fini par utiliser le module ipt_recent avec une règle adéquat qui drop une IP pendant 3 minutes après 3 tentatives de connexion. Très efficace, mes logs se sont vidés (une tentative toutes les deux secondes en moyenne avant…)

#18

je trouve pas les log du ssh,

sinon hier en redémarrant ma becanne, j’ai redémarré mon ftp, comme ce matin j’avais rien logwatch je suis allé voir dans syslog.


Jul 16 06:27:25 localhost proftpd[4661]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:25 localhost proftpd[4661]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session closed. 
Jul 16 06:27:26 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session opened. 
Jul 16 06:27:27 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:27 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 247 usecs 
Jul 16 06:27:27 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:28 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:28 localhost proftpd[4745]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session closed. 
Jul 16 06:27:29 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session opened. 
Jul 16 06:27:30 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:30 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 207 usecs 
Jul 16 06:27:30 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 331 usecs 
Jul 16 06:27:31 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:31 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 285 usecs 
Jul 16 06:27:31 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - mod_delay/0.4: delaying for 366 usecs 
Jul 16 06:27:32 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - no such user 'Administrator' 
Jul 16 06:27:32 localhost proftpd[4746]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session closed. 
Jul 16 06:27:33 localhost proftpd[4747]: localhost.localdomain (218.108.49.102[218.108.49.102]) - FTP session opened.

et là j’ai 2h de tentative, mais ce qui est le plus inquiétant est de voir sur certaines lignes ftp Opened, est ce que cela veux dire qu’il ya eu connection, si c’est le cas pourquoi il ya d’autre tentative.

je viens de voir dans les log de proftp soit xferlog il ya aucun mouvement de ftp,

#19

Montre les lignes inquiétantes. Sinon, met des mots de passes Majus+Minus+Chiffres. Là encore, tu peux utiliser ipt_recent…

#20

c’est ce que je vais faire, ipt_recent c’est un programme

les ligne inquiétant c’est ça

la je suis en traint de passé en revue toutes les ligne de auth.log