Inleiding
Deze gids helpt u bij het onderzoeken en oplossen van incidenten waarbij uw ESA onverwachte of ongewenste uitgaande e-mails verzendt. Het beschrijft praktische stappen en opdrachten om de bron te identificeren en het gedrag te stoppen.
Voorwaarden
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Problemen oplossen
Als u weet welke account spam verzendt, wordt het aanbevolen om die account onmiddellijk te vergrendelen. Als de rekening niet bekend is, voert u een onderzoek uit met behulp van de ESA om de verantwoordelijke rekening te identificeren en gaat u vervolgens verder met het afsluiten ervan.
Werkvoorraadcontroles
Als u een groot aantal e-mails in de werkvoorraad waarneemt en het aantal inkomende e-mails aanzienlijk hoger is dan het aantal uitgaande e-mails, duidt dit op een probleem met de werkvoorraad. U kunt de opdracht werkvoorraad gebruiken om de status en details te bekijken.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
Afzender of onderwerp van e-mails in de werkvoorraad is bekend
Als u de afzender of het onderwerp kent van de e-mails die van invloed zijn op de werkvoorraad, wordt het aanbevolen om een berichtenfilter te gebruiken. Door een berichtenfilter toe te passen, kan de ESA deze e-mails eerder in de werkvoorraad verwerken en er actie op ondernemen, waardoor de verwijdering ervan efficiënter wordt.
U kunt het volgende filter gebruiken om dit te bereiken:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'user@example.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Controle op leveringswachtrij
Met de opdracht tophosts worden de hosts weergegeven die momenteel worden beïnvloed. In een live-omgeving kunt u merken dat een ontvangende host (zoals example.com) een groot aantal actieve ontvangers in de opleverwachtrij heeft, wat wijst op impact.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 example.com 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0Als de getroffen host een onbekend ontvangerdomein is en u meer informatie nodig hebt voordat u alle e-mails verwijdert, kunt u de opdrachten ontvangers tonen, bericht tonen en ontvangers verwijderen. De opdracht ontvangers weergeven bevat details zoals de bericht-ID (MID), berichtgrootte, aantal bezorgpogingen, afzender van de envelop, ontvanger(s) van de envelop en het onderwerp van de e-mail.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> example.com
In het geval dat de vermoedelijke MID in de bezorgwachtrij legitiem lijkt, kunt u de opdracht showmessage gebruiken om de berichtbron weer te geven voordat u actie onderneemt.
C370.lab> showmessage
Enter the MID to show.
[]> 123456789
Zodra de e-mails zijn bevestigd als spam, kunt u ze verwijderen met behulp van de opdracht deleterrecipients. Deze opdracht biedt drie opties voor het verwijderen van e-mails uit de bezorgwachtrij: per afzender van de enveloppe, per host van de ontvanger of alle e-mails in de bezorgwachtrij.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]> user@example.com
Proactieve monitoring en actie
regel voor herhalingen van koptekst
De regel Herhalingen koptekst wordt beoordeeld als true wanneer binnen een periode van een uur een opgegeven aantal berichten wordt gedetecteerd die aan een van de volgende criteria voldoen:
- Ze hebben hetzelfde onderwerp.
- Ze zijn van dezelfde afzender.
De regelsyntaxis is: header-repeats(<target>, <threshold> [, <direction>])
Als u deze regel wilt gebruiken, meldt u zich aan bij de CLI en implementeert u het juiste filter. U kunt bijvoorbeeld een filter maken om e-mails te laten vallen of een beheerder op de hoogte te stellen zodra de gedefinieerde drempelwaarde is bereikt.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@example.com');
}
.
Gerelateerde informatie
Feedback