Помогите узнать кто шлёт письма?

[yanos]

Добрый день.
Уже три дня в 3.01 начинает расти maillog (200-300Мб) и складываются письма в каталог /var/spool/clientmqueue. Всё это продолжается до 5.30 (примерно) и за это время в каталоге /var/spool/clientmqueue порядка 90000 файлов.

Система
FreeBSD 9.2,
домашний сервер с nginx и пару маленьких сайтов, почтовый сервер не установлен,
в rc.conf
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

maillog

Код: Выделить всё

Dec 12 03:01:01 www sendmail[2491]: gethostbyaddr(192.168.1.2) failed: 1
Dec 12 03:01:01 www sendmail[2491]: gethostbyaddr(10.10.100.1) failed: 1
Dec 12 03:01:02 www sendmail[2560]: gethostbyaddr(192.168.1.2) failed: 1
Dec 12 03:01:02 www sendmail[2560]: gethostbyaddr(10.10.100.1) failed: 1
Dec 12 03:01:05 www sendmail[2565]: grew WorkList for /var/spool/clientmqueue to 2000
.
.
.
Dec 12 03:05:46 www sendmail[2565]: grew WorkList for /var/spool/clientmqueue to 104000
Dec 12 03:10:46 www sendmail[2754]: rBB13KbN002354: to=www, delay=1+00:07:19, xdelay=00:00:00, mailer=relay, pri=121579, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB13KbO002354: to=www, delay=1+00:07:18, xdelay=00:00:00, mailer=relay, pri=121580, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB13KbP002354: to=www, delay=1+00:07:18, xdelay=00:00:00, mailer=relay, pri=121582, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB13KbQ002354: to=www, delay=1+00:07:18, xdelay=00:00:00, mailer=relay, pri=121583, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB13KbX002354: to=infozz@domen1.com, delay=1+00:07:17, xdelay=00:00:00, mailer=relay, pri=121740, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB25qag002354: to=gena_carey@domen2.com, delay=22:58:42, xdelay=00:00:00, mailer=relay, pri=121827, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB13Kba002354: to=lucia_kim@domen3.com, delay=1+00:07:17, xdelay=00:00:00, mailer=relay, pri=121830, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]
Dec 12 03:10:46 www sendmail[2754]: rBB25qah002354: to=ruby_mccray@domen2.com, delay=22:58:41, xdelay=00:00:00, mailer=relay, pri=121830, relay=[127.0.0.1], dsn=4.0.0, stat=Deferred: Connection refused by [127.0.0.1]

Я так понимаю что всё это запускает пользователь www, но как это предотвратить?
Мои знания весьма скромные, поэтому самостоятельно проблему не нашёл.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lazhu]

Код: Выделить всё

Dec 12 03:01:01 www sendmail[2491]: gethostbyaddr(192.168.1.2) failed: 1
Dec 12 03:01:01 www sendmail[2491]: gethostbyaddr(10.10.100.1) failed: 1

пропишите в /etc/hosts эти адреса

[yanos]

Да у меня вопрос не относительно первых строк, а относительно того что с 3.01 до 5.30 у меня появляется порядка 100 тыс. файлов в каталоге /var/spool/clientmqueue и соответствующие записи в логе maillog от несуществующих пользователей. В качестве имени домена в email адресе указываются имена доменов сайтов размещённых на этом сервере.

Как разобраться кем/чем они генерятся/принимаются. Судя по логу они отправляются от пользователя "www" то есть возможно это php скрипт, может ещё что то. Как я уже писал это продолжается около 3-4 дней и сообщения в maillog появляются в одно и тоже время (3.01), может быть это связано с записью в cron
# Perform daily/weekly/monthly maintenance.
1 3 * * * root periodic daily

Во общем не знаю что делать. Поэтому прошу помощи у специалистов.
Заранее спасибо

[lazhu]

Сендмэйл у вас не работает, потому что не резолвятся адреса.
Относительно того, кто отправитель - смотрите кронтаб.

[yanos]

Спасибо за помощь.
Но мне не надо чтоб работал sendmail. В первом посте я написал что в rc.conf добавлены строки

sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"


Извините за вопрос, а как с помощью кронтаб-а я узнаю кто отправитель?

Появление сообщений в maillog происходит в 03часа 01минут
в кронтаб этому соответствует строка
1 3 * * * root periodic daily

сообщения в maillog появляются от пользователя www и их порядка 90-100 тыс.

[co6aka]

periodic читает два файла настройки /etc/default/periodic.conf и /etc/periodic.conf.
И исполняет разрешённые скрипты из /etc/periodic/{daily,monthly,security,weekly} и
/usr/local/etc/periodic/{daily,monthly,security,weekly}

Посмотрите в конфиге, кому (www) и в каких случаях разрешено отправлять сообщения почтой (локальной).

[co6aka]

Вообще-то все (возможно и нет, но я таких не видел) службы по периодику отправляют отчеты о состоянии руту через локальную почту. По этому, возможно, имеет смысл оставить sendmail и настроить его на работу только в пределах машины.
И скорее всего, письма у вас складываются в спул, который никто не обрабатывает. Вот они там и лежат.