<div dir="ltr">I have been watching this DoS stuff now for a while.<div><br></div><div>I am wondering if this issue is triggered during high load (similar to an actual DoS)</div><div><br></div><div>Would it be possible to set up a MailScanner test environment and do a load bearing test against mailscanner?  Perhaps just an MTA with a script to send massive amounts of mail to a mailscanner instance?</div><div><br></div><div>I want to get to the bottom of this.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, May 13, 2016 at 4:22 AM, Michael Böttger <span dir="ltr"><<a href="mailto:michael.boettger@crossip.net" target="_blank">michael.boettger@crossip.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
<div style="color:rgb(0,0,0)"><br>
</div>
<div style="color:rgb(0,0,0)">Hello,</div>
<div style="color:rgb(0,0,0)"><br>
</div>
<div style="color:rgb(0,0,0)">we are currently running MailScanner in combination with the following setup:</div>
<div style="color:rgb(0,0,0)"><br>
</div>
<div style="color:rgb(0,0,0)">MailWatch Version:1.2.0 - RC1 DEV<br>
MailScanner Version:4.85.2<br>
ClamAV Version:0.99.1 <br>
SpamAssassin Version:3.4.0 <br>
PHP Version:5.4.16<br>
MySQL Version:10.0.25-MariaDB-wsrep (3 node cluster)</div>
<div>
<p style="color:rgb(0,0,0);margin:0px">CentOS Linux release 7.2.1511 (Core) </p>
<p style="color:rgb(0,0,0);margin:0px">6 Core Intel(R) Xeon(R) CPU           X5650  @ 2.67GHz</p>
<p style="color:rgb(0,0,0);margin:0px">virtualiced in a Virtuozzo 6.0 CloudServer environment</p>
<p style="color:rgb(0,0,0);margin:0px"><br>
</p>
<p style="color:rgb(0,0,0);margin:0px">processing about 20-24000 mails per day and we do get about 30-50 "Denial of Service attack" mails, which are not moved to the quarantine location as advertised in the „disarmed“ mail.</p>
<p style="color:rgb(0,0,0);margin:0px"><br>
</p>
<p style="color:rgb(0,0,0);margin:0px">After reading trough the Maillinglist we have set -> Maximum Processing Attempts = 0</p>
<p style="margin:0px">Which also doesnt’help, and have disabled -> Dangerous Content Scanning = no</p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px">We could anly see such messages with the following log entries:</p>
<p style="margin:0px">May 13 02:30:02 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in D1A4AA0DBC.A33FC from <a href="mailto:some_address@returns.groups.yahoo.com" target="_blank">some_address@returns.groups.yahoo.com</a></p>
<p style="margin:0px">May 13 02:30:23 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 11057A0844.AB59A from <a href="mailto:some_address@coldiretti.it" target="_blank">some_address@coldiretti.it</a></p>
<p style="margin:0px">May 13 02:33:04 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 3E0E2A08D7.AAAA3 from <a href="mailto:some_address@googlegroups.com" target="_blank">some_address@googlegroups.com</a></p>
<p style="margin:0px">May 13 02:42:27 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in CEF30A08AC.AE861 from <a href="mailto:some_address@csak1utazas.hu" target="_blank">some_address@csak1utazas.hu</a></p>
<p style="margin:0px">May 13 02:53:05 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 0A11DA0844.ABECC from <a href="mailto:some_address@coldiretti.it" target="_blank">some_address@coldiretti.it</a></p>
<p style="margin:0px">May 13 03:16:25 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 10455A0844.AF1FC from <a href="mailto:some_address@paypal.at" target="_blank">some_address@paypal.at</a></p>
<p style="margin:0px">May 13 03:23:18 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in CC42FA0844.A3738 from <a href="mailto:some_address@billa.at" target="_blank">some_address@billa.at</a></p>
<p style="margin:0px">May 13 03:34:55 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 6306AA08AC.A8311 from <a href="mailto:some_address@coldiretti.it" target="_blank">some_address@coldiretti.it</a></p>
<p style="margin:0px">May 13 03:37:06 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in BF3ECA08AC.A7E73 from <a href="mailto:some_address@amazonses.com" target="_blank">some_address@amazonses.com</a></p>
<p style="margin:0px">May 13 03:46:35 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in EAE58A0DBC.A86E2 from <a href="mailto:some_address@vetmeduni.ac.at" target="_blank">some_address@vetmeduni.ac.at</a></p>
<p style="margin:0px"></p>
<p style="margin:0px">May 13 03:57:43 mx01 MailScanner[25323]: <span style="color:#c33720">
Content Checks</span>: Detected and have disarmed KILLED tags in HTML message in 0B375A08AC.AAEB0 from <a href="mailto:some_address@xing.com" target="_blank">some_address@xing.com</a></p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px">Here are the whole log entris for a particular mail:</p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px">May 13 03:46:23 mx01 postfix/smtpd[29099]: <span style="color:rgb(195,55,32)">
EAE58A0DBC</span>: client=<a href="http://mail.meduniwien.ac.at" target="_blank">mail.meduniwien.ac.at</a>[149.148.224.72]</p>
<p style="margin:0px">May 13 03:46:23 mx01 postfix/cleanup[29649]: <span style="color:#c33720">
EAE58A0DBC</span>: hold: header Received: from <a href="http://mailfp2.srv.meduniwien.ac.at" target="_blank">mailfp2.srv.meduniwien.ac.at</a> (<a href="http://mail.meduniwien.ac.at" target="_blank">mail.meduniwien.ac.at</a> [149.148.224.72])??by <a href="http://mx01.mail.netstorage.at" target="_blank">mx01.mail.netstorage.at</a> (Postfix) with ESMTPS id
<span style="color:#c33720">EAE58A0DBC</span>??for <<a href="mailto:some_address@jensen-jarolim.at" target="_blank">some_address@jensen-jarolim.at</a>>; Fri, 13 May 2016 03 from <a href="http://mail.meduniwien.ac.at" target="_blank">mail.meduniwien.ac.at</a>[149.148.224.72]; from=<<a href="mailto:some_address@vetmeduni.ac.at" target="_blank">some_address@vetmeduni.ac.at</a>> to=<<a href="mailto:some_address@jensen-jarolim.at" target="_blank">some_address@jensen-jarolim.at</a>>
 proto=ESMTP helo=<<a href="http://mailfp2.srv.meduniwien.ac.at" target="_blank">mailfp2.srv.meduniwien.ac.at</a>></p>
<p style="margin:0px">May 13 03:46:23 mx01 postfix/cleanup[29649]: <span style="color:#c33720">
EAE58A0DBC</span>: message-id=<<a href="mailto:8b7eb9021b7f725b13b26feb1fd22385@mlgns.com" target="_blank">8b7eb9021b7f725b13b26feb1fd22385@mlgns.com</a>></p>
<p style="margin:0px">May 13 03:46:23 mx01 postfix/cleanup[29649]: <span style="color:#c33720">
EAE58A0DBC</span>: resent-message-id=<<a href="mailto:20160513014548.2CFA8EE2DE@mail.vu-wien.ac.at" target="_blank">20160513014548.2CFA8EE2DE@mail.vu-wien.ac.at</a>></p>
<p style="margin:0px">May 13 03:46:35 mx01 MailScanner[25323]: Content Checks: Detected and have disarmed KILLED tags in HTML message in
<span style="color:#c33720">EAE58A0DBC</span>.A86E2 from <a href="mailto:some_address@vetmeduni.ac.at" target="_blank">some_address@vetmeduni.ac.at</a></p>
<p style="margin:0px"></p>
<p style="margin:0px">May 13 03:46:35 mx01 MailScanner[25323]: Requeue: <span style="color:#c33720">
EAE58A0DBC</span>.A86E2 to D0A8EA15C3</p>
<p style="margin:0px">May 13 03:46:35 mx01 postfix/qmgr[27970]: <span style="color:#c33720">
D0A8EA15C3</span>: from=<<a href="mailto:some_address@vetmeduni.ac.at" target="_blank">some_address@vetmeduni.ac.at</a>>, size=25282, nrcpt=1 (queue active)</p>
<p style="margin:0px">May 13 03:46:36 mx01 postfix/smtp[29822]: <span style="color:#c33720">
D0A8EA15C3</span>: to=<<a href="mailto:some_address@jensen-jarolim.at" target="_blank">some_address@jensen-jarolim.at</a>>, relay=<a href="http://mailfilter01.crossip.net" target="_blank">mailfilter01.crossip.net</a>[89.207.144.61]:25, delay=12, delays=11/0.01/0.54/0.23, dsn=2.0.0, status=sent (250 Ok: queued as 3578F5C00D2)</p>
<p style="margin:0px"></p>
<p style="margin:0px">May 13 03:46:36 mx01 postfix/qmgr[27970]: <span style="color:rgb(195,55,32)">
D0A8EA15C3</span>: removed</p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px">We have also done the test for missing Perl extensions, and all are present.</p>
<p style="margin:0px"><br>
</p>
<p style="margin:0px">We could catch some of these emails and will directly forward them to <span style="white-space:pre-wrap;background-color:rgb(255,255,255)">Jerry Benton</span></p>
</div>
<div style="color:rgb(0,0,0)">
<div>
<div style="color:rgb(0,0,0)"><br>
</div>
<div>
<div style="color:rgb(0,0,0);margin:0px">Mit freundlichen Grüßen,</div>
<div style="color:rgb(0,0,0);margin:0px">With best regards,</div><span class="HOEnZb"><font color="#888888">
<div style="color:rgb(0,0,0);margin:0px"><span lang="de"> </span></div>
<div style="color:rgb(0,0,0);margin:0px"><font><span lang="de">Michael Böttger</span></font></div>
<div style="font-size:14px;font-family:Calibri,sans-serif;color:rgb(0,0,0);margin:0px">
<br>
</div>
<div style="font-size:14px;font-family:Calibri,sans-serif;color:rgb(0,0,0);margin:0px">
<font face="Calibri,sans-serif" size="2"><span style="font-size:11pt"></span></font></div>
</font></span></div>
</div>
</div>
</div>

<br><br>
<br>
--<br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/listinfo/mailscanner" rel="noreferrer" target="_blank">http://lists.mailscanner.info/listinfo/mailscanner</a><br>
<br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Shawn Iverson<div>Director of Technology</div><div>Rush County Schools</div><div>765-932-3901 x271</div><div><a href="mailto:iversons@rushville.k12.in.us" target="_blank">iversons@rushville.k12.in.us</a></div><div><br></div><div><img src="https://docs.google.com/uc?export=download&id=0Bw5iD0ToYvs_UFV2VFdmNG1SaVE&revid=0Bw5iD0ToYvs_U3VaVlpuTFBtak9QZXVRL3FmRUd2d0laTkZRPQ" width="96" height="39"><br></div></div></div></div></div></div></div>
</div>