Есть под никсами почтовый сервер, похоже dovecot, еще и postfix работает. Кто есть кто пока не разбирался.

Почтовый клиент соединяется получает количество писем в ящике и зависает на чтении.

Вечером всё было без проблем, с утра уже не фурычит.

В последнее время постоянно получал сообщения "High 5 minute load average alert".

Так как postfix это MTA, а почтовый сервер - dovecot то надо, наверное, смотреть на сервере его логи.
"High 5 minute load average alert". - надо смотреть кто же cpu time жрёт. Может у почтового сервера времени не хватает ответить, потому что процессор занят.

"High 5 minute load average alert".

Это было только когда кто то туды лазил, при нормальной работе ничего такого не происходит.

Последние две недели только и лазили. Я просто сервер перегружал как самый просто выход.

Пасибки, бум искать логи dovecot-а

Мой пост таки потерли...

Проверь свободное место на диске - если мыло накапливается, то там большие файлы собираются и при удалении одного письма может не хватить места (или времени) на копирование...

с местом проблем не вижу там 10 гигов отведено, меньше 2 занято

Пытаются пароль подобрать пароль к почтовику постоянно.

Вот всё что нашел интересного

Это всё, только одна строка

Apr 29 18:29:37 dovecot: doveadm: Fatal: This is Dovecot's fatal log (1651249777)

Это постоянно как я пробую логинится

Apr 29 18:34:11 dovecot: pop3-login: Login: user=<user name>, method=XXXX, rip=myIp, lip=serverIp, mpid=27898, session=<wrfAnM3d3u5Z9QP1>

Apr 29 18:34:11 dovecot: pop3(user name): Disconnected: Logged out top=0/0, retr=0/0, del=0/19, size=955250

Пытаются пароль подобрать

------

Зарежь ИПшник и посмотри что будет.

Почему вы делаете чужую работу? Это должен делать админ, а не программист. Резко ладонь начальнику на стол и вопрос ребром!

Это должен делать админ, а не программист

Для тех кто еще в танке - сервер личный, как и почта, правда у провайдера стоит.

посмотри что будет

А что смотреть то, пока отключено ничего не будет, как что включишь, боты опять насядут.

Может еще кому понадобится

как что включишь

------

А зачем?

Я, когда ИП баню так это надолго... до перестановки системы.

Я, когда ИП баню

ааа, так ты про входящие - это автоматом происходит при подборе логина, за полгода 12тыс банов

надо смотреть кто же cpu time жрёт

нашел сообщения

Resource: Process Time

от

Exceeded: 1815 > 1800 (seconds)

до

Exceeded: 398382 > 1800 (seconds)

qmgr -l -t unix -u

anvil -l -t unix -u -c

tlsmgr -l -t unix -u -c

proxymap -t unix -u

pickup -l -t unix -u -c

/usr/sbin/milter-greylist -P /var/run/greylist.pid -u greylist -p /var/spool/postfix/var/run/milter-greylist/milter-greylist.sock

Executable: /usr/lib/dovecot/pop3, Command Line: dovecot/pop3

Executable: /usr/lib/dovecot/auth, Command Line: dovecot/auth

Вопрос только как это всё запускается? И что это за команды

И что это за команды

-----

man <command>

найти что делает конкретная команда и ее параметры вполне возможно, а вот получить общую картину о всей куче и какого раньше ничего не выжирало, а сейчас началось, довольно задруднительно без опыта

довольно задруднительно без опыта

------

Насколько Я помню, там есть ресурсный монитор - запускаешь и смотришь что жрет ресурсы.

Я бы поинтересовался у хостера тем откуда могут быть проблемы - что-нибудь в "виртуализации" "напутали"...

смотришь что жрет ресурсы

так я же говорю об общей картине, типа ка на землю из космоса глянуть, многое видно по другому чем с земли.

Я бы поинтересовался у хостера

А при чем здесь провайдер? Считаешь что в последние дни что то напутали? Сильно сомневаюсь - один из крупнейших здесь

А при чем здесь провайдер?

------

У тебя физический сервер или что-то другое?

Хостер имеет хоть какой-нибудь доступ к серверу?

Все процессы за исключением одного относятся к почте (postfix или dovecot).

Судя по структуре сообщений - это отчеты lfd.

Resource: Process Time для служб, каковыми являются postfix и dovecot, не релеванто (их процессы могут выполняться бесконечно). Поэтому lfd обычно конфигурируют так, чтобы он их игнорировал и не забивал почтовый ящик ненужными отчетами.

Вы решили перейти на -нуксы?

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Дневник тяжелобольного инвалида

Все процессы за исключением одного относятся к почте

совершенно верно. То бишь ничего странного нет? Но отчего раньше не было "High 5 minute load average alert " было только "Excessive resource usage: postfix"

Может какой-то новый тип атаки?

Судя по структуре сообщений - это отчеты lfd

Да это я почту локально глянул

их процессы могут выполняться бесконечно

да но с каким ЦПУ временем. При полностью отключенной почте "топ" показывает 0.3% по максимуму. /*ооо только, что md5sum 95% было какое то время*/

У тебя физический сервер

Не, сильно дорого, достаточно виртуального.

перейти на -нуксы?

Нет конечно, но в подобных случаях приходится разбираться.

н.п.

Первым делом поправлюсь - почему-то написал cpu time когда имел в виду cpu load. Для начала можно просто посмотреть top на сервере, может что-то сразу и видно будет. У провайдеров частенько свои утилиты для мониторинга серверов уже есть, посмотреть там загрузку CPU-памяти?

В логе dovecot-а в двух строчках сразу и логин и логаут, в ту же секунду. Чой-та? Можно попробовать другим почтовым клиентом зайти. Мало ли.

Apr 29 18:34:11 dovecot: pop3-login: Login: user=<user name>, method=XXXX, rip=myIp, lip=serverIp, mpid=27898, session=<wrfAnM3d3u5Z9QP1>
Apr 29 18:34:11 dovecot: pop3(user name): Disconnected: Logged out top=0/0, retr=0/0, del=0/19, size=955250

достаточно виртуального.

-----

На виртуальном ресурсы тоже виртуальные.

Те же ЦПУ делятся между работающими на них виртуалками - докинули тебе на физический сервер с десяток виртуалок и... все, ресурса ЦПУ и дисков почти нет...

Так что проверил свободное место, отсутствие "лишних" процессов и пинай хостера.

и логин и логаут, в ту же секунду

Да это мне тоже не понравилось, вот вроде что то подобное.

https://forum.ubuntu.ru/index.php?topic=201677.0

Но там что то было с настройками в самом начале. А у меня то всё работало.

Веб морда тоже не откликается mail.mydomaind.tld, то бишь вообще как будто и не было

все, ресурса ЦПУ и дисков почти нет

ну тогда бы всё тормозило

начал пробовать стартовать сервер - ошибка 80 - и где этот код искать? https://www.dovecot.org/, нашлось только это https://doc.dovecot.org/admin_manual/error_codes/

# service dovecot start

Job for dovecot.service failed because the control process exited with error code.

#systemctl status dovecot.service

dovecot.service - Dovecot IMAP/POP3 email server

Loaded: loaded (/lib/systemd/system/dovecot.service; enabled; vendor preset: enabled)

Active: failed (Result: exit-code) since Sat 2022-04-30 17:59:06 CEST; 1min 14s ago

Process: 11626 ExecStop=/usr/bin/doveadm stop (code=exited, status=0/SUCCESS)

Process: 30583 ExecStart=/usr/sbin/dovecot (code=exited, status=80)

Main PID: 1105 (code=exited, status=0/SUCCESS)

вот еще через вебмин пробовал. Порты действительно кем то заняты показывает "netstat -lnt". Как найти кем?

Failed to start Dovecot :

Error: service(imap-login): listen(*, 143) failed: Address already in use

Error: service(imap-login): listen(::, 143) failed: Address already in use

Error: service(imap-login): listen(*, 993) failed: Address already in use

Error: service(imap-login): listen(::, 993) failed: Address already in use

Fatal: Failed to start listeners

нашел похоже неудачная попытка старта

netstat -ltnp

tcp6 0 0 :::993 :::* LISTEN 1/init

tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 1/init

tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 1/init

после перегрузки сервера и предварительного отключения автостарта, Dovecot стартует "master: Info: Dovecot v2.2.27 () starting up for imap, pop3 (core dumps disabled)"

Можно логинится но сообщения прочитать нельзя

Опять новая фигня

doveconf -n

не выдает то что в

/etc/dovecot/dovecot.conf

Только какие то куски

И еще нашел в логах

pop3-login: Fatal: Error reading configuration: Timeout reading config from /var/run/dovecot/config

Какого оттуда читает, какая то ссылка? В этом каталоге размер файла 0.

Хакеры сегодня задолбали невозможно ничего открыть, выжирают весь процессор

Уже и всё сетку им баню не помогает, всё равно висят на 25 порте

csf -d 114.0.0.0/8

Хакеры сегодня задолбали невозможно ничего открыть, выжирают весь процессор
Уже и всё сетку им баню не помогает, всё равно висят на 25 порте
csf -d 114.0.0.0/8

Для тех кто еще в танке - сервер личный, как и почта, правда у провайдера стоит.

Может, эти хакеры сидят даже ближе, чем вы думаете? И майнуют себе по вире на чужом железе?

И майнуют себе по вире на чужом железе

и процессы тоже спрятали

на 143 порте dovecot работает, странно

И через telnet можно сессию открыть и статистику по почте глянуть. А через почтовые программы ну никак, че за фигня?

Хотя tunderbird тоже статистику показывает а вот почту не тянет

че за фигня?

------

Протокол запроса в телнете в ручную отстучи и посмотри что ответит.

Возможно какой апдейт по аутентификации накатили.

На винде бы таких проблем не было. Или быстро бы централизованно устранили, т.к. весь мир бы возбудился. А на никсах никто тебе ни за что не отвечает.

Протокол запроса в телнете в ручную отстучи

Так работает гад, надо еще сообщение прочитать, именно это и не работает.

Хотя второй почтовый аккаунт на другом клиенте удалось через imap прочитать. А вот основной ну никак. Только через локальный imap/веб интерфейс

На винде бы таких проблем не было. Или быстро бы централизованно устранили, т.к. весь мир бы возбудился. А на никсах никто тебе ни за что не отвечает.

зачем говорить о чем то о чем понятия не имеешь ?

Товарисчу нравится. Главное головку держит ровно :)

С каждым днём все хуже и хуже- уже и на германку не могу нормально зайти

По IMAP-у почта как то работает, заголовки подкачивает, но вот сообщения часто не хочет. Где не там ищу похоже. Проблема совершенно в другом месте, знать бы в каком....

Если что, это не я. ))

Смените айпи, провайдера. Домой притащите его и через домашний инет подключите. Кто-то залез в ваш сервер.

Домой притащите его и через домашний инет подключите

ну если расскажете как виртуалку из облака домой притащить, то можно попробовать. Как вариант можно и с нуля всё переустановить, но тоже долго.

Кто-то залез в ваш сервер

Вполне возможно, если работать с никсами раз в 5 лет, то не просто всё отыскать. Да и нужно хотя бы предствлять куды рыть, на выходные то в почту рыл.

Самое интересное что только Edge работает на домашнем сейчас, остальные выкаблучиваются

ну если расскажете как виртуалку из облака домой притащить, то можно попробовать.

Я думал, вы там свой блейд ввернули. А виртуалку разве нельзя просто скопировать? В нормальных виртуалках образ системы - один файл.

А виртуалку разве нельзя просто скопировать?

Скоро прийдется кошку цитировать

Да я просто помочь хотел, а как не знаю. Пусть нескладно, зато по смыслу. ))

Всё, молчу.

А мне кажется нормальный был комментарий, если не про технологию, то о самом подходе к защите своего сервера от "нехороших" людей.

Один чел постоянно бекапил и дублировал свой магазин, говорит если взломают, он через несколько минут сможет восстановиться без потерь,

так и здесь пересмотреть политику партии, загрузить всё с новейшими заплатками, запустить сервисы с нуля, потом почту раздать владельцам.

Вопросы и Ответы - Программируем калькулятор пособий для беженцев вместе.

Один чел постоянно бекапил и дублировал свой магазин, говорит если взломают, он через несколько минут сможет восстановиться без потерь, так и здесь пересмотреть политику партии, загрузить всё с новейшими заплатками, запустить сервисы с нуля, потом почту раздать владельцам.

Имхо можно бакапить если cron job настроить см. https://qna.habr.com/q/364575 и https://vps.ua/wiki/backup/, и если есть NAS-жёсткий диск типа такого см. https://www.westerndigital.com/de-de/products/network-attached-storage/wd-my-cloud-expert-series-ex2-ultra чтобы туда бакапить.

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Дневник тяжелобольного инвалида

А это как маунтировать такой жёсткий диск - https://programmingwithjim.wordpress.com/2021/03/01/mounting-the-wd-mycloud-on-ubuntu-20/

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Дневник тяжелобольного инвалида

Да я просто помочь хотел

Спасибо конечно, но желательно оставаться в рамках "приличий". А то можно предложить сервер на луну затащить.

Проблема с почтой решена, никогда бы не додумался.

Как говорится не было счастья, да несчастье помогло.

Начал искать отчего браузер не показывает сайты, первый же совет - проверьте антивирус. А он гад вообще не запускается.

Как всё обновилось, вместе с виндой, так и заработало. Получается, вирь чето то блокировал, и за этого сервер входил в ступор.

Не ожидал конечно, что из за проблем с клиентом сервер может входить в ступор. Какая то фигня на сервере еще осталась, но с этим пока можно жить.

-----

Гыыы...

Ты уже готов присоединиться к компании пинающих Билли или подождем день-другой до следующего апдейта винды?

На работе нарушение какой-то рутины в следствии закачанного но не проинсталеного апдейта задалбывало регулярно...

в следствии закачанного но не проинсталеного апдейта

не было такого, я сам закачал, там баальшое обновление было. Просто была еще опция удалить антиврь и снова установить, но не понадобилось.

После обновы всё заработало

не было такого

------

Видимо у тебя и принудительной перезагрузки еще не случалось... жестко, по таймеру,без возможности отменить... биллино, мать его, ноу-хав...

зачем с такими скилами вообще гонять свой почтовый сервер ? Гуглмэйл будет и надежней и дешевле во всех практически планах

Видимо у тебя и принудительной перезагрузки еще не случалось

ну так это само собой по ночам. Если-бы они еще виртуальные десктопы учитывали....

зачем с такими скилами вообще гонять свой почтовый сервер

отчего так категорично? Получается что и на кухне нечего мне делать, так как готовить не умею.

Ну и естественно, что почтовый сервер - бесплатное дополнение к вебсайту и другим плюшкам.

Гуглмэйл будет и надежней и дешевле

Не во всех случаях хорошо иметь домейн от гугла.

ну так это само собой по ночам

У вас что, комплюхтер по ночам не выключается?

А почему могут хакеры ломиться? Живут некоторые люди, к ним годами никто не ломится. А к другим - постоянно, регулярно и сразу со многих мест... Денег у вас, чтоли, очень много? ))

ты можешь со своим доменом прийти

да нет почему категорично, хозяин барин. Просто гонять свои почтовики подразумевает вполне себе солидные знания иначе можно потерять почту, спамить, а это бывает критично для бизнеса.

И в копилочку: почта, отправленная со своего почтового сервера может молча игнорироваться другими smtp серверами. Потому что "mail sender score" (или как он там обзывается) не высокий. Т.е. отправитель "ненадёжный". Гугл такое любит.

А с корпоративной?

А вообще, расслабтесь и получайте удовольствие.

Потому что "mail sender score" (или как он там обзывается) не высокий

Есть такое, но там не сильно и поборешься

по ночам не выключается?

Рабочий лапоть нет, он не шумит от слова совсем, в покое.

А каждый день по новому всё запускать ломит.

а это бывает критично для бизнеса.

А нет никакого бизнеса

А почему могут хакеры ломиться?

Чтобы взламывать что-то более крупное, и замести все следы. У меня такое было уже, был рут сервер на 1&1/ionos, и кто-то мой рут-сервер взломал.

Если я кому-то отвечаю, это не значит что я ему симпатизирую, каждый остаётся при своём мнение Дневник тяжелобольного инвалида

это тебе месть казахстанских хакеров за Анфиску и тыщу дизлайков?

Зависть и похвастушки

А нет никакого бизнеса

тогда опять вопрос, зачем гонять свой почтовый сервер если это даже не для бизнеса :)

хотя я конечно понимаю что если хочется, то вопрос "зачем" неуместен

тогда опять вопрос, зачем гонять свой почтовый сервер

Да уж всё автоматом ставится и сколько хошь адресов и поддоменов и пр. Начиналось еще лет 15 назад.

Для админки вполне приличный UI. Только в особых случаях нужно консолью пользоваться.

Да и не слышал, что домен можно на два разных провайдера разделить - на почту и веб по разным серверам.