El blog de danitxu

Me llaman por teléfono varias personas indicando que no reciben correos que otras les mandan desde la misma red local.

Al hacer un mailq en el servidor de correo, veo que el scroll no para. Después hago mailq | tail -n1 y aparece la friolera de:
-- 161561 Kbytes in 50670 Requests.

¿Cómo proceder? Como tiene mucha pinta de spam, lo primero es detener el envío de todo cuanto antes, para que no nos metan en una lista negra:
postsuper -h ALL

Analizando los correos de la cola, ej. con:
mailq |head -n 50 > /tmp/q; emacs /tmp/q

se ve algo así:

264DD12811B1      635 Thu Apr 22 13:23:58  postmaster@W_MX_SERVER.midominio.org
kaceynicolex13@aol.com
280BF12815DA      627 Thu Apr 22 13:23:58  postmaster@W_MX_SERVER.midominio.org
kaceymacey@aol.com
8088112815E1      621 Thu Apr 22 13:23:58  postmaster@W_MX_SERVER.midominio.org
kaceytx@aol.com
7FB63128119D      625 Thu Apr 22 13:23:58  postmaster@W_MX_SERVER.midominio.org
kacflyers@aol.com
...


De donde se deduce que muchos de ellos llevan la marca postmaster@W_MX_SERVER.midominio.org
Para ver el equipo “culpable”, se puede abrir el /var/log/mail.log con un editor y buscar una cadena identificadora de uno de los mensajes de spam, para después seguir la pista hasta ver la conexión y por tanto la IP. Después, se le desconecta bien de forma manual o bien con algún filtro (firewall,…).

¿Cómo borrar los más de cincuenta mil correos de forma rápida?

L=$(mailq | grep postmaster@W_MX_SERVER  | awk '{print $1}' | cut -f 1 -d '!' | cut -f 1 -d '*')
for i in $L; do postsuper -d $i; done

(La consideración sobre el ! y * es porque muchos están en hold o ya en envío activo). Vuelvo a hacer un mailq | tail -n1 y ahora sale:
-- 109087 Kbytes in 293 Requests.

Lo cual es mucho más lógico (hay muchos acumulados). Ya sólo queda restaurar los que están en Hold y se supone que son “buenos”: postsuper -H ALL

Estas operaciones de limpieza que no han llevado ni una hora, no hubieran sido factibles con un interface gráfico. Long live the console!

Esta entrada fue escrita el Jueves, 22 de abril de 2010 a las 14:28 y archivada en /usr/share/doc. Puedes seguir cualquier respuesta a esta entrada a través del feed RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio web.