Jump to content

Fillo

Members
  • Content Count

    32
  • Joined

  • Last visited

  1. Purtroppo quelle strade le ho già seguite :062802drink_prv: A parte qualche noia che si sistemerà con l'uscita della release di DA completamente compatibile con debian lenny, non riscontro problemi di funzionamento sostanziali se non questa storia con quel mittente (spam, come già detto) che mi tartassa di email che finiscono in coda con quell'errore.. per ora ho risolto bannando i 3 ip che mi tormentavano... comunque hai idea di quando sarà disponibile l'aggiornamento per DA? Grazie mille F.
  2. Caio ragazzi, premessa: la posta viene inviata e ricevuta correttamente. ho un problema piuttosto fastidioso.. ogni due/tre min mi si mette nella "mail queue" un messaggio (proveniente SEMPRE dallo stesso mittente [uno spammer maledetto]), destinato ad un indirizzo del nostro dominio. questo messaggio viene messo in coda per svariati motivi, piuttosto strani (non capisco poi perchè accada solo per questo mittente), il più comune è: Failed to open msglog file for 1LawWT-0000m3-4Y: No such file or directory Ora, visto che succede solo per questo mittente che mi sta sfracassando le scatole.. avete idea per le quale exim mi restituisca quell'errore nel log? Ripeto, la posta funziona tranquillamente.. Per fermare la continua ricezione ho bannato quell'ip così, per ora, non mi da noia.. però vorrei vederci un pò piu' chiaro.. PS = ho aggiornato ieri a debian lenny, se dovesse servire (ho paura che, magari, ci possa essere qualche problema di compatibilità con directadmin) Grazie
  3. Ciao a tutti, ho appena finito di aggiornare directadmin e tutti i vari demoni, negli aggiornamenti ho visto che non è stato incluso quello relativo ad EXIM che rimane sempre alle versione 4.67 (dal sito ufficiale di exim l'ultima versione stabile disponibile è la 4.69) Sul forum di supporto a directadmin non ho trovato niente di preciso in merito: non capisco perchè non venga inclusa nei custombuild una versione piu' recente di tale demone. mi illuminate? :fagiano: nel caso, mi consigliate un metodo per aggiornare exim senza far "danni" a directadmin? grazie. f.
  4. Uhm, ok.. a questo punto se non riesco a trovare risposta a tutti questi problemi durante il prossimo weekend faccio un bel recovery almeno mi tolgo qualsiasi dubbio in merito a backdoor e/o rootkit o altre schifezze che potrebbero mettere in difficoltà il vps. per quanto riguarda i log gli darò un occhiata.. per quanto riguarda il cpuusage insapettato ho notato che c'è una certe simmetria fra i fatti: venerdì alle cinque alto consumo, vps bloccato. ieri pomeriggio alle 5 (su per giù) alto consumo, vps bloccato. ma perlomeno a questi non corrisponde anche un alto (o comunque, alto per i nostri livelli traffici quotidiani) consumo di traffico, a differenza di stanotte. Grazie ancora, Fillo
  5. Ciao Flame, innanzitutto ti ringrazio. Escluderei quasi totalmente la possibilità che qualcuno abbia "preso posto" nel vps: qual'ora ci siano dei login da parte degli utenti abilitati ad ssh mi arriverebbe un email. Il vps cerco sempre di tenerlo aggiornato al meglio e a togliermi le preoccupazioni di rootkit e backdoor in teoria ci dovrebbe essere ELS :) mi sapresti consigliare un tcpdump che possa convivere senza problemi su debian + directadmin? grazie ancora. Fillo. -- EDIT @hypertext: non ho alcun servizio di backup attivo, per le statistiche uso awstats ma è sotto directadmin e non ha mai dato problemi.. problemi di questo tipo (che rendono il vps del tutto irraggiungibile anche per un'ora) li ho da qualche settimana a questa parte... :( rinnovo la domanda di prima: che log devo consultare per capire COSA stava facendo il server in quegli istanti? Grazie ancora Fillo
  6. Ciao ragazzi, da circa un mese, durante l'arco della giornata ho dei grossi problemi di visibilità del vps dati da un consumo al di fuori della nostra portata di traffico e cpusage del tutto inspiegabili. purtroppo non sono quasi mai in ufficio quando si verifica il fatto (:fagiano:) e quindi, non sapendo mai di che campana fidarmi ("oggi 3 volte" - "oggi una sola volta, alle 5" - "no! oggi due..") io e un amico abbiamo deciso di fare un piccolo service monitor in java che controlla periodicamente (ogni 10 minuti) lo stato di tutti i servizi erogati dal server e, in caso di down, manda un email alla nostra ibox di tim in modo da ricevere l'avviso anche sul cellulare :stordita:, in modo da poter avere la situazione sotto controllo e di conoscere in modo concreto lo svilupparsi dei fatti. stanotte dalle 23.33 alle 24.40 in effetti ci sono stati dei disservizi (visibilità discontinua nell'arco di questa fascia oraria). Andando a vedere i grafici di hypervm ecco la sorpresina: cpu usage > ImageShack - Image Hosting :: graphh1ajeefn5.png traffico > ImageShack - Image Hosting :: graphizldl4xr7.png dal secondo grafico potete vedere che sberla gli è arrivata in quella fascia oraria.. :062802drink_prv: cosa potrebbe essere un livello così alto di traffico? la prima cosa che ho pensato per il tipo di disservizi "ci sono, non ci sono più" e per tutto quel carico di traffico in entrata ho pensato subito ad un denial of service. è plausibile? se sì, quali strumenti posso adottare per bloccare questi tipi di attacco? (ora sto usando apf+els (debian + directadmin) per proteggermi dalle noie basilari) problemi di questo tipo li ho potuti riscontrare anche con un livello di traffico canonico ma un consumo della cpu del tutto inspiegabile ed è qui che mi domando : dove posso andare a parare per scoprire cosa succedeva in quei minuti? (detto concretamente: ci sono dei log che mi forniscono l'attività del server in quegli istanti?) Grazie. Fillo.
  7. Buon pomeriggio a tutti :fagiano: Uso SA per filtrare la posta in azienda: settimanalmente "rastrello" circa 15k email che, attualmente, finiscono in una mailbox dedicata. Purtroppo (per "fisse" non mie, preciso :fuma:) io e un altro collega dobbiamo controllarle tutte prima di eliminarle. Visto che il lavoro è piuttosto noioso e per il 98% ci chiedevamo se è possibile configurare SA per fare in modo che tutto lo spam con un threshold > 14 venga eliminato direttamente e quello compreso fra 7.6 e 13.9 venga mandato nella mailbox solita.
  8. speravo rispondessi proprio tu, :asd: l'altra volta mi avevi linkato un sito che fungeva da wizard per sti benedetti spf. visto che mi sembra morto.. un sito simile lo conosci? comunque, googlando un pò non è che abbia capito molto bene cosa su cosa e come devo andare a parare per fare in modo da includere anche interbusiness, per ora il record sarebbe così: "v=spf1 a mx ip4:mail_server_ip ?all"
  9. ma se io impostassi un spf per il mio dominio (ad es, quello impostato di default da directadmin) e volessi inviare posta anche dall'smtp di interbusiness.. incontrerei dei problemi? grazie, f.
  10. Fillo

    coda email: è normale?

    mah.. le email sono in coda ma una buona parte sembra che siano già state inviate anche se si trovano ancora in coda.. (abbiamo ricevuto delle risposte, quindi le email sono state inviate correttamente...) mi sapreste gentilmente dire se c'è modo per fare (se esiste, ma suppongo di si) un refresh della coda da riga di comando? -- UPDATE googlando un pò ho visto che per vedere quanti messaggi sono in coda bisogna lanciare il comando exim -qf che mi restituisce soltanto 18 messaggi. ora mi chiedevo.. non è che in coda vedo ancora tutti gli indirizzi per il semplice fatto che erano in carbon copy con quei 18 che sono stati accodati?
  11. Ciao a tutti, oggi abbiam provato a mandare una newsletter aziendale a circa 4000 mila contatti. è normale (penso proprio di si) che le email rimangano nella "mail queue" di directadmin? entro quanto tempo verrà smaltita la coda? grazie F.
  12. Ciao a tutti. Avrei la necessità di analizzare i logs di exim. Purtroppo essendo dei log "chilometrici" non riesco a trovare un modo per consultarli agevolmente. mi interesserebbe analizzare tutte le entry che riguadano la posta inviata da exim. suppongo che l'applicazione da utilizzare da riga di comando sia grep ma purtroppo non riesco a fare una regola per estrapolare ciò che mi serve. qualcuno potrebbe darmi una dritta? Grazie, F.
  13. :asd::asd: -- Premetto che mi ha fatto molto piacere leggere le vostre risposte, mi sono state molto utili per chiarirmi le idee sulla funzionalità di SPF. Non mi è ancora del tutto chiara una cosa però: esiste o non esiste, un "modo" per poter evitare che vengano inviate email(s) con il mio indirizzo tramite altri server smtp? Trovo molto fastidioso (come sottolineava EVCZ) che vengano mandate in giro per il mondo schifezze che portano come mittente il mio indirizzo. Molto probabilmente in tanti, ricevendo email di questo tipo (con mittente falsificato) potrebbero pensare che sia realmente io a mandare queste schifezze (anche se poi, come mi fece notare WinOfOz, basterebbe dare uno sguardo agli headers per appurarlo). Non mi vorrei trovare al punto di perdere qualche cliente e/o di perdere credibilità a livello professionale (lavorando con centinaia di paesi sparsi per il globo è probabile che anche a qualche mio cliente arrivi un email di spam con il mio mittente falsificato). Cosa potrebbero pensare? "Guarda questo, di giorno fa il suo lavoro e di notte manda in giro offerte per comprare viagra" Forse sto correndo troppo ma sicuramente non è una bella cosa e le probabilità (correggetemi se sbaglio) che ciò accada purtroppo ci sono. In secondo luogo, per prevenire questo "backscattering", quale sarebbe la soluzione migliore da adottare senza troppi problemi?
  14. Con la consulenza di WinOfOz, che ringrazio infinitamente, abbiamo appurato che quanto diceva la sua supposizione corrispondeva alla verità: le email in questione non sono state inviate direttamente a me ma da qualcuno che ha utilizzato uno dei nostri indirizzi come "mittente". Terrò comunque sotto controllo il vps nelle prossime ore per esser certo che sia veramente andata così. Per il resto ringrazio nuovamente WizOfOz che, pur non essendo (per ora) un suo cliente, mi ha fatto più assistenza lui in 30 minuti di quanta me ne abbia fatta il mio attuale fornitore in 5 mesi.
  15. No, niente open relay. Ora la situazione si è normalizzata, pare che il boom ci sia stato attorno a mezzogiorno.. e guardando i logs non riesco davvero a capire a cosa sia stato dovuto. il sito è praticamente una pagina html "in costruzione" aggiornamenti rilevanti non ce ne sono le password sono state cambiate e di scripts strani fin'ora non ne ho trovati mi sembra inspiegabile sta cosa.. @WizOfOz: mi sono tornate qualcosa come 3000 email.. forse non è troppo?
×