Savoir qui envoie le mail et où il va

Support Debian
#1

Bonjour messieurs dames:

j’ai tous les 10 minutes ça dans /var/log/syslog:

Apr 10 15:20:04 vks10487 sSMTP[14779]: Creating SSL connection to host Apr 10 15:20:04 vks10487 sSMTP[14779]: SSL connection using DHE_RSA_AES_128_CBC_SHA1 Apr 10 15:20:05 vks10487 sSMTP[14779]: Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409

et dans /var/log/mail.log

Apr 10 15:10:06 vks10487 sSMTP[13446]: Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409 Apr 10 15:20:04 vks10487 sSMTP[14779]: Creating SSL connection to host Apr 10 15:20:04 vks10487 sSMTP[14779]: SSL connection using DHE_RSA_AES_128_CBC_SHA1 Apr 10 15:20:05 vks10487 sSMTP[14779]: Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409 Apr 10 15:30:05 vks10487 sSMTP[16185]: Creating SSL connection to host Apr 10 15:30:05 vks10487 sSMTP[16185]: SSL connection using DHE_RSA_AES_128_CBC_SHA1 Apr 10 15:30:06 vks10487 sSMTP[16185]: Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409 Apr 10 15:40:05 vks10487 sSMTP[17569]: Creating SSL connection to host Apr 10 15:40:05 vks10487 sSMTP[17569]: SSL connection using DHE_RSA_AES_128_CBC_SHA1 Apr 10 15:40:06 vks10487 sSMTP[17569]: Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409

etc … et j’essaye de savoir ce qui peut bien tenter d’envoyer un mail toutes les 10 minutes et je ne sais pas où chercher pour trouver . Je pars du contenu de ces logs et je ne comprends pas précisément ce qu’ils me racontent: quelqu’un peut me dire ce que me racontent ces logs et quels fichiers je dois aller voir pour comprendre qui envoie ce mail et à qui ?

#2

Tu peux déja faire un whois sur les adresses de destination pour savoir qui sont les destinataires.

#3

C’est lui-même :mrgreen:

[code]$ dig vks10487.ip-37-59-125.eu

; <<>> DiG 9.8.1-P1 <<>> vks10487.ip-37-59-125.eu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46621
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;vks10487.ip-37-59-125.eu. IN A

;; ANSWER SECTION:
vks10487.ip-37-59-125.eu. 82519 IN A 37.59.125.25

;; Query time: 53 msec
;; SERVER: 217.79.186.148#53(217.79.186.148)
;; WHEN: Tue Apr 10 17:01:51 2012
;; MSG SIZE rcvd: 58

$ dig -x 37.59.125.25

; <<>> DiG 9.8.1-P1 <<>> -x 37.59.125.25
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19423
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;25.125.59.37.in-addr.arpa. IN PTR

;; ANSWER SECTION:
25.125.59.37.in-addr.arpa. 82595 IN PTR alterit3.alter-it.fr.

;; Query time: 52 msec
;; SERVER: 217.79.186.148#53(217.79.186.148)
;; WHEN: Tue Apr 10 17:02:03 2012
;; MSG SIZE rcvd: 77[/code]

C’est très probablement un script cron. Vu le nom d’utilisateur d’origine (www-data) il y a de fortes chances que ce script cron déclenche une page web (panel d’admin ?) qui envoie un mail au compte root de ta machine.
Étant donné qu’apparemment tu ne reçois pas ces mails mais qu’ils sont correctement envoyés, tu dois en plus avoir un problème au niveau de la configuration de tes alias.

#4

[quote=“syam”]Sent mail for root@vks10487.ip-37-59-125.eu (221 2.0.0 Bye) uid=33 username=www-data outbytes=1409
C’est très probablement un script cron. Vu le nom d’utilisateur d’origine (www-data) il y a de fortes chances que ce script cron déclenche une page web (panel d’admin ?) qui envoie un mail au compte root de ta machine.
Étant donné qu’apparemment tu ne reçois pas ces mails mais qu’ils sont correctement envoyés, tu dois en plus avoir un problème au niveau de la configuration de tes alias.[/quote]

Ah voilà la réponse que j’attendais . Merci !

  • Ok, j’ai rien dans /var/mail c’est bien là que je devrais trace de réception de ces mails non ?
  • Configuration des Alias où ?
  • Les seuls trucs où je pourrais avoir configuré un mail auto c’est dans Munin à priori mais j’ai vérifié ( j’ai eu un doute sur le fait d’avoir programmé des envois de mail ou non lors de l’install ) et j’ai rien dans /etc/munin/munin.conf … l’hypothèse munin te semble coller avec ces mails dans les logs ?
#5

pour les alias, recherche dans /etc, un fichier “aliases”

(il peut y en avoir plusieurs, ça dépend de la config de ton mailer)

#6

Oh p… j’ai trouvé .

En fait j’utilise ssmtp en lieu et place de sendmail. Du coup ssmtp n’utilise pas /etc/aliases mais un fichier de conf spécifique dans /etc/ssmtp : revaliases dans lequel je configure un alias root : adresse.mail@domaine.bla… et les mails partaient à cette adresse en fait ! Du coup je suis allé ouvrir ce mail et c’est awstats et pas munin qui m’envoie des mails toutes les 10 mn … je n’ai plus qu’à aller regarder ce que j’ai bien pu faire comme connerie pour générer ça :wink:

Hop passage en résolu pour le prochain :slightly_smiling: