Introdução
Este guia ajuda a investigar e resolver incidentes em que seu ESA envia e-mails de saída inesperados ou indesejados. Ele descreve as etapas e os comandos práticos para identificar a origem e interromper o comportamento.
Pré-requisitos
Componentes Utilizados
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Troubleshooting
Se você souber qual conta está enviando spam, é recomendável bloquear imediatamente essa conta. Se a conta não for conhecida, realize uma investigação usando o ESA para identificar a conta responsável e, em seguida, proceda para bloqueá-la.
Verificações da fila de trabalho
Se você observar um número alto de e-mails na fila de trabalho e a taxa de e-mails recebidos exceder significativamente a taxa de saída, isso indica um problema com a fila de trabalho. Você pode usar o comando workqueue para revisar o status e os detalhes.
C370.lab> workqueue status
Status as of: Thu Feb 06 12:48:02 2014 GMT
Status: Operational
Messages: 48654
C370.lab> workqueue rate 5
Type Ctrl-C to return to the main prompt.
Time Pending In Out
12:48:04 48654 48 2
12:48:09 48700 31 0
O remetente ou o assunto dos e-mails na fila de trabalho é conhecido
Se você souber o remetente ou o assunto dos emails que afetam a fila de trabalho, é recomendável usar um filtro de mensagens. A aplicação de um filtro de mensagens permite que o ESA processe e tome medidas sobre esses e-mails mais cedo na fila de trabalho, tornando sua remoção mais eficiente.
Você pode usar o seguinte filtro para fazer isso:
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if (mail-from == 'user@example.com')
{
drop();
}
.
OR
FilterName:
if (subject == "^SUBJECT NAME$")
{
drop();
}
.
Verificação da Fila de Entrega
O comando tophosts exibe os hosts afetados no momento. Em um ambiente ativo, você pode observar que um host de destinatário (como example.com) tem um grande número de destinatários ativos em sua fila de entrega, indicando o impacto.
C370.lab> tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Thu Feb 06 12:52:17 2014 GMT
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1 example.com 321550 50 440 75568 8984
2 the.euq.queue 0 0 0 0 0
3 the.euq.release.queue 0 0 0 0 0Se o host afetado for um domínio de destinatário não familiar e você precisar de mais informações antes de remover todos os e-mails, você poderá usar os comandos showrecipients, showmessage e deleterecipients. O comando showrecipients fornece detalhes como ID da Mensagem (MID), tamanho da mensagem, número de tentativas de entrega, remetente de envelope, destinatário(s) de envelope e o assunto do email.
C370.lab> showrecipients
Please select how you would like to show messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 1
Please enter the hostname for the messages you wish to show.
> example.com
Caso o MID suspeito na fila de entrega pareça legítimo, você poderá usar o comando show message para exibir a origem da mensagem antes de executar qualquer ação.
C370.lab> showmessage
Enter the MID to show.
[]> 123456789
Quando os e-mails forem confirmados como spam, você poderá removê-los usando o comando deleterecipients. Esse comando oferece três opções para excluir e-mails da fila de entrega: por remetente de envelope, por host de destinatário ou por todos os emails na fila de entrega.
C370.lab> deleterecipients
Please select how you would like to delete messages:
1. By recipient host.
2. By Envelope From address.
3. All.
[1]> 2
Please enter the Envelope From address for the messages you wish to delete.
[]> user@example.com
Monitoramento e ação proativos
Regra de repetições de cabeçalho
A regra de repetição de cabeçalho é avaliada como verdadeira quando, em um período de uma hora, um número especificado de mensagens que atendem a um dos seguintes critérios é detectado:
- Eles têm o mesmo assunto.
- Eles são do mesmo remetente de envelope.
A sintaxe da regra é: header-repeat(<target>, <threshold> [, <direction>])
Para usar essa regra, faça login na CLI e implante o filtro apropriado. Por exemplo, você pode criar um filtro para eliminar e-mails ou notificar um administrador quando o limite definido for atingido.
C370.lab> filters
Choose the operation you want to perform:
- NEW - Create a new filter.
- DELETE - Remove a filter.
- IMPORT - Import a filter script from a file.
- EXPORT - Export filters to a file
- MOVE - Move a filter to a different position.
- SET - Set a filter attribute.
- LIST - List the filters.
- DETAIL - Get detailed information on the filters.
- LOGCONFIG - Configure log subscriptions used by filters.
- ROLLOVERNOW - Roll over a filter log file.
[]> new
Enter filter script. Enter '.' on its own line to end.
FilterName:
if header-repeats('mail-from',1000,'outgoing')
{
drop();
}
.
OR
FilterName:
if header-repeats('subject',1000,'outgoing')
{
notify('admin@example.com');
}
.
Informações Relacionadas
Feedback