[Postfixbuch-users] Binäre Zeichen in den Logs
Helmut Lichtenberg
heli at tzv.fal.de
Mi Jul 4 14:16:03 CEST 2012
Hallo,
anläßlich eines Totalabsturzes unseres Mailservers stöberte ich in diversen
Logs herum, um nach Spuren für die Ursache des Ausfalls zu suchen (leider
vergeblich).
Dabei stieß ich auf mehrere Logdateien bezüglich Mail, in denen unlesbare
Zeichen stehen. Dies ist mir in Abständen früher schon immer mal aufgefallen.
Ich sehe allerdings keinen Zusammenhang zu dem Absturz heute morgen.
Trotzdem nerven diese Binärzeichen und sehen nicht normal aus.
Hier ein paar Log-Auszüge:
##############################################################################
root at dcs,log: cat /var/log/user.log
Jul 2 19:51:17 dcs ��h: user1 0
Jul 2 19:51:17 dcs ��h: user1 1341856277 0
Jul 3 09:16:22 dcs M��
Jul 3 09:16:22 dcs ��S�: user2 0
Jul 3 09:16:22 dcs M��
Jul 3 09:16:22 dcs ��S�: user2 1341904582 0
Jul 3 15:58:34 dcs .Ї�: user1 1338973600
Jul 3 15:58:34 dcs .Ї�: user1 1341928714 0
Jul 3 16:00:05 dcs .Ї�: user1 1341928714
Jul 3 16:00:07 dcs .Ї�: user1 1341928714
Jul 3 16:00:07 dcs .Ї�: user1 1341928714
Jul 3 16:00:08 dcs .Ї�: user1 1341928714
##############################################################################
Die Username habe ich verändert, sie sind aber konsistent durch die
verschiedenen Dateien.
Kann das mit Smartphones zusammen hängen? user1 hat mit Sicherheit ein Nokia
N900 mit Linux drauf.
##############################################################################
Auszüge aus /var/log/cyrus.log:
Jul 3 07:03:13 dcs cyrus/lmtpunix[23760]: duplicate_check: äq^VWX^H<96>.g/ÂÙöÀâ: user1 1341826679
Jul 3 07:15:53 dcs cyrus/lmtpunix[24657]: duplicate_check: bñtϱ @±<98>¨<84>òVv9^M user2 0
Jul 3 07:26:49 dcs cyrus/lmtpunix[24994]: duplicate_check: õ^O\{^Yè^F<8f><81><9b>XW^X<8e>^E| user2 0
Jul 3 07:26:49 dcs cyrus/lmtpunix[24994]: duplicate_mark: õ^O\{^Yè^F<8f><81><9b>XW^X<8e>^E| user2 1341898009 0
Jul 4 02:28:48 dcs cyrus/imap[18365]: login: ots-v3.tzv.local [10.1.3.3] user3 plaintext User logged in
Jul 4 02:28:48 dcs cyrus/imap[18365]: seen_db: user user3 opened /var/lib/cyrus/user/d/user3.seen
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@465]: lmtp connection preauth'd as postman
Jul 4 02:29:09 dcs cyrus/lmtpunix[18465]: duplicate_check: <20120704002909.36E4F25F77E5 at dcs.tzv.fal.de> user.user4_sys 0
##############################################################################
Auszüge aus /var/log/mail.log:
Jul 4 02:27:39 dcs postfix/smtpd[15696]: connect from 200-90-211-43.baf.movistar.cl[200.90.211.43]
Jul 4 02:27:41 dcs postfix/smtpd[15696]: NOQUEUE: reject: RCPT from 200-90-211-43.baf.movistar.cl[200.90.211.43]: 554 5.7.1 Service unavailable; Client host [200.90.211.43] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=200.90.211.43; from=<ltsbmnqe at acu.com> to=<strackstrack at tzv.fal.de> proto=ESMTP helo=<200-90-211-43.baf.movistar.cl>
Jul 4 02:27:41 dcs postfix/smtpd[15696]: disconnect from 200-90-211-43.baf.movistar.cl[200.90.211.43]
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@loxzone.com.br>
Jul 4 02:28:02 dcs postfix/smtpd[18314]: disconnect from unknown[181.64.196.84]
Jul 4 02:28:02 dcs postfix/smtpd[15696]: disconnect from 201-78-171-151.user.veloxzone.com.br[201.78.171.151]
Jul 4 02:28:18 dcs postfix/smtpd[14285]: warning: 190.176.159.38: hostname 190-176-159-38.speedy.com.ar verification failed: Name or service not known
Jul 4 02:28:18 dcs postfix/smtpd[14285]: connect from unknown[190.176.159.38]
Jul 4 02:28:19 dcs postfix/smtpd[14285]: NOQUEUE: reject: RCPT from unknown[190.176.159.38]: 554 5.7.1 Service unavailable; Client host [190.176.159.38] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=190.176.159.38; from=<rbaudaqv at ijy.com> to=<stupefaction03 at tzv.fal.de> proto=ESMTP helo=<190-176-159-38.speedy.com.ar>
Jul 4 02:28:20 dcs postfix/smtpd[14285]: disconnect from unknown[190.176.159.38]
^@^@^@^@^@^ [ Hunderte von ^@ Zeichen entfernt ] ^@^@^@^@^@^@^@^@^@^@^@^@^@86.140.82.119]
^@^@^@^@^@^ [ Hunderte von ^@ Zeichen entfernt ] ^@^@^@^@^@^@^@^@^@ig_to=<root at localhost>, relay=dcs.tzv.fal.de[/var/run/cyrus/socket/lmtp], delay=0.73, delays=0.61/0.01/0.02/0.08, dsn=2.1.5, status=sent (250 2.1.5 Ok)
Jul 4 02:29:14 dcs postfix/smtpd[18446]: disconnect from mail.holdengroup.co.uk[217.45.213.113]
^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^.... after RCPT from 186-240-160-215.user3g.veloxzone.com.br[186.240.160.215]
Jul 4 02:29:27 dcs postfix/smtpd[15696]: disconnect from 186-240-160-215.user3g.veloxzone.com.br[186.240.160.215]
##############################################################################
Hier ein paar Daten zum System (Debian 5.0 Squeeze, mit einigen Backports):
root at dcs,postfix: uname -a
Linux dcs 2.6.26-1-xen-686 #1 SMP Fri Mar 13 22:30:40 UTC 2009 i686 GNU/Linux
##############################################################################
root at dcs,postfix: dpkg -l |grep postfix
ii libpostfix-parse-mailq-perl 1.001-1 parse the output of the postfix mailq comman
ii postfix 2.7.1-1~bpo50+1 High-performance mail transport agent
ii postfix-doc 2.7.1-1~bpo50+1 Documentation for Postfix
ii postfix-ldap 2.7.1-1~bpo50+1 LDAP map support for Postfix
ii postfix-pcre 2.7.1-1~bpo50+1 PCRE map support for Postfix
##############################################################################
root at dcs,postfix: dpkg -l |grep cyrus
ii cyrus-admin-2.2 2.2.13-14+lenny6 Cyrus mail system (administration tools)
ii cyrus-clients-2.2 2.2.13-14+lenny6 Cyrus mail system (test clients)
ii cyrus-common-2.2 2.2.13-14+lenny6 Cyrus mail system (common files)
ii cyrus-doc-2.2 2.2.13-14+lenny6 Cyrus mail system (documentation files)
ii cyrus-imapd-2.2 2.2.13-14+lenny6 Cyrus mail system (IMAP support)
ii cyrus-murder-2.2 2.2.13-14+lenny6 Cyrus mail system (proxies and aggregator)
ii cyrus-pop3d-2.2 2.2.13-14+lenny6 Cyrus mail system (POP3 support)
ii libcyrus-imap-perl22 2.2.13-14+lenny6 Interface to Cyrus imap client imclient libr
##############################################################################
root at dcs,postfix: dpkg -l |grep sasl
ii libsasl2-2 2.1.22.dfsg1-23+lenny1 Cyrus SASL - authentication abstraction libr
ii libsasl2-modules 2.1.22.dfsg1-23+lenny1 Cyrus SASL - pluggable authentication module
ii libsasl2-modules-gssapi-mit 2.1.22.dfsg1-23+lenny1 Cyrus SASL - pluggable authentication module
ii sasl2-bin 2.1.22.dfsg1-23+lenny1 Cyrus SASL - administration programs for SAS
##############################################################################
root at dcs,~: postconf -n
alias_maps = hash:/etc/aliases proxy:ldap:aliassource
biff = no
bounce_queue_lifetime = 3d
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
config_directory = /etc/postfix
fallback_transport = smtp
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
local_header_rewrite_clients = permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
masquerade_domains = tzv.local tzv.fal.de
masquerade_exceptions = root
message_size_limit = 30000000
message_strip_characters = \0
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, tzv.local, ganymede.tzv.fal.de, mail.tzv.fal.de
mydomain = tzv.fal.de
myhostname = dcs.tzv.fal.de
mynetworks = 127.0.0.0/8 10.1.0.0/16 10.2.0.0/16 192.108.34.0/24
myorigin = $mydomain
readme_directory = /usr/share/doc/postfix
sender_canonical_maps = pcre:/etc/postfix/canonical-sender
smtp_tls_security_level = may
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access-recipient-rfc, check_client_access cidr:/etc/postfix/access-client, check_helo_access hash:/etc/postfix/access-helo, check_sender_access hash:/etc/postfix/access-sender, check_recipient_access hash:/etc/postfix/access-recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_non_fqdn_sender, permit_sasl_authenticated, permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_recipient, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rhsbl_sender blackhole.securitsage.com, reject_rhsbl_client blackhole.securitsage.com, check_policy_service inet:[127.0.0.1]:12525, check_policy_service inet:[127.0.0.1]:60000, reject_unverified_recipient, reject_unauth_destination, permit
smtpd_restriction_classes = fli_only
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_tls_CAfile = /etc/ssl/certs/ing.certs/CAcert.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ing.certs/mail.tzv.fal.de.pem
smtpd_tls_key_file = /etc/ssl/certs/ing.certs/mail.tzv.fal.de.key
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
soft_bounce = no
virtual_alias_domains = hash:/etc/postfix/virtual-domains
virtual_alias_maps = proxy:ldap:virtualsource hash:/etc/postfix/virtual
##############################################################################
Ist das ein bekanntes Problem mit den Binärzeichen in den Logs?
Wie kann ich das abstellen?
Herzlichen Dank im Voraus.
Helmut Lichtenberg
--
-------------------------------------------------------------------------
Helmut Lichtenberg <Helmut.Lichtenberg at fli.bund.de> Tel.: 05034/871-128
Institut für Nutztiergenetik (FLI) 31535 Neustadt Germany
-------------------------------------------------------------------------
Mehr Informationen über die Mailingliste Postfixbuch-users