
<div dir="auto"><div>You may need at this point to halt mail flow at the MTA level, kill Mailscanner processes (do not gracefully stop it ... ramdisk sync could save a copy of the processing.db), and clean up the /var/spool/Mailscanner/incoming directory including deleting the processing.db in there and any child PID directory trees lingering in there.</div><div dir="auto"><br></div><div dir="auto">Also, before starting Mailscanner again, disable the ramdisk sync in /etc/Mailscanner/defaults if enabled</div><div dir="auto"><br></div><div dir="auto">Turn ramdisk sync back on if it was on originally and you are sure it is resolved.</div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr">On Tue, May 21, 2019, 8:25 AM  <<a href="mailto:info@schroeffu.ch" target="_blank" rel="noreferrer">info@schroeffu.ch</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Mark, Hi MailScanner Friends,<br>

<br>

hadn't time to react earlier sorry, now I just checked it again (it is still spamming me every<br>

hour ^_°).<br>

<br>

> You don't need 'strings'. 'MailScanner --processing' will show it to you<br>

> too.<br>

<br>

Thanks, at the moment "MailScanner --processing" is still displaying the bad message:<br>

<br>

--<br>

#MailScanner --processing<br>

Archive:<br>

<br>

Number of messages: 1<br>

Tries Message Last Tried<br>

===== ======= ==========<br>

6 11A003C0065.AC53F Fri May 10 08:56:07 2019<br>

--<br>

<br>

> It comes from the Processing.db. The question is why is it reappearing<br>

> there? I think it must be comming from the MTA or maybe a MailScanner<br>

> queue. What's in /var/spool/MailScanner/nnnn where nnnn is the PID of<br>

> the running MailScanner, or if you are useing the MailScanner Milter<br>

> option whats in your milterin and milterout queues?<br>

<br>

I am still using the ^HOLD queue mode, no milter in use. The folder /var/spool/MailScanner/nnnn does not contain the PID, in my case the PID is in /var/run/MailScanner.pid but it only contains the pid number:<br>

<br>

/var/run# cat MailScanner.pid<br>

211918<br>

<br>

> What does 'grep 11A003C0065 /var/log/mail.log' (or wherever your mail<br>

> logs are) show?<br>

<br>

The already rotated log is saying the following lines when searching for the Messasge ID<br>

11A003C0065:<br>

<br>

root@vmlxmail1:/tmp/search-maillog2# grep -R 11A003C0065 *<br>

May 10 08:29:33 vmlxmail1 postfix/smtpd[148698]: 11A003C0065:<br>

client=<a rel="noreferrer noreferrer noreferrer">mail-dm3nam05hn0245.outbound.protection.outlook.com</a>[104.47.49.245]<br>

May 10 08:29:33 vmlxmail1 postfix/cleanup[146570]: 11A003C0065: hold: header Received: from<br>

<a rel="noreferrer noreferrer noreferrer">NAM05-DM3-obe.outbound.protection.outlook.com</a> (<a rel="noreferrer noreferrer noreferrer">mail-dm3nam05hn0245.outbound.protection.outlook.com</a><br>

[104.47.49.245])??by <a rel="noreferrer noreferrer noreferrer">mail.ourdomain.de</a> (Postfix) with ESMTPS id 11A003C0065??for from<br>

<a rel="noreferrer noreferrer noreferrer">mail-dm3nam05hn0245.outbound.protection.outlook.com</a>[104.47.49.245];<br>

from=<<a rel="noreferrer noreferrer">sadie.smith@live.longwood.edu</a>> to=<<a rel="noreferrer noreferrer">recipient@ourdomain.de</a>> proto=ESMTP<br>

helo=<<a rel="noreferrer noreferrer noreferrer">NAM05-DM3-obe.outbound.protection.outlook.com</a>><br>

May 10 08:29:33 vmlxmail1 postfix/cleanup[146570]: 11A003C0065:<br>

message-id=<36868ABC6C2FD54E67E1B8F6945AFB1A8E4318BD@WORLDST0I6DPJ59><br>

May 10 08:29:33 vmlxmail1 opendkim[1514]: 11A003C0065:<br>

<a rel="noreferrer noreferrer noreferrer">mail-dm3nam05hn0245.outbound.protection.outlook.com</a> [104.47.49.245] not internal<br>

May 10 08:29:33 vmlxmail1 opendkim[1514]: 11A003C0065: not authenticated<br>

May 10 08:29:37 vmlxmail1 MailScanner[149988]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:29:37 vmlxmail1 MailScanner[149988]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:29:37 vmlxmail1 MailScanner[149988]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:31:38 vmlxmail1 MailScanner[150510]: Making attempt 2 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:31:41 vmlxmail1 MailScanner[150510]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:31:41 vmlxmail1 MailScanner[150510]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:31:41 vmlxmail1 MailScanner[150510]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:35:59 vmlxmail1 MailScanner[150083]: Making attempt 3 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:36:02 vmlxmail1 MailScanner[150083]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:36:02 vmlxmail1 MailScanner[150083]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:36:02 vmlxmail1 MailScanner[150083]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:41:26 vmlxmail1 MailScanner[151456]: Making attempt 4 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:41:29 vmlxmail1 MailScanner[151456]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:41:29 vmlxmail1 MailScanner[151456]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:41:29 vmlxmail1 MailScanner[151456]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:47:24 vmlxmail1 MailScanner[150241]: Making attempt 5 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:47:27 vmlxmail1 MailScanner[150241]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:47:27 vmlxmail1 MailScanner[150241]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:47:27 vmlxmail1 MailScanner[150241]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:51:38 vmlxmail1 MailScanner[153430]: Making attempt 6 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Warning: skipping message 11A003C0065.AC53F as it<br>

has been attempted too many times<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Quarantined message 11A003C0065.AC53F as it caused<br>

MailScanner to crash several times<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Saved entire message to<br>

/var/spool/MailScanner/quarantine/20190510/11A003C0065.AC53F<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: MailWatch: Logging message 11A003C0065.AC53F to SQL<br>

May 10 08:51:43 vmlxmail1 MailScanner[150628]: MailWatch: 11A003C0065.AC53F: Logged to MailWatch<br>

SQL<br>

<br>

And attempt 6 with some more informations (virus scanning, restart MailScanner Proc)<br>

<br>

May 10 08:51:38 vmlxmail1 MailScanner[153430]: Making attempt 6 at processing message<br>

11A003C0065.AC53F<br>

May 10 08:51:38 vmlxmail1 MailScanner[153430]: New Batch: Scanning 1 messages, 7155 bytes<br>

May 10 08:51:38 vmlxmail1 MailScanner[153430]: Virus and Content Scanning: Starting<br>

May 10 08:51:38 vmlxmail1 MailScanner[153430]: Cannot lock<br>

/var/spool/MailScanner/incoming/Locks/esetsBusy.lock, No such file or directory<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Esets::INFECTED::JS/Redirector.NEE trojan<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: message repeated 2 times: [<br>

Esets::INFECTED::JS/Redirector.NEE trojan]<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Virus Scanning: esets found 3 infections<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F.message came from<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F came from<br>

104.47.49.245<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Infected message 11A003C0065.AC53F.message » MIME »<br>

S2BOB3ITMHJ.html came from<br>

May 10 08:51:41 vmlxmail1 MailScanner[153430]: Virus Scanning: Found 3 viruses<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: MailScanner Email Processor version 5.1.3<br>

starting...<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Reading configuration file<br>

/etc/MailScanner/MailScanner.conf<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Reading configuration file<br>

/etc/MailScanner/conf.d/README<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Read 1500 hostnames from the phishing whitelist<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Read 16624 hostnames from the phishing blacklists<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Config: calling custom init function SQLWhitelist<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: MailWatch: Starting up MailWatch SQL Whitelist<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: MailWatch: Read 32 whitelist entries<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Config: calling custom init function<br>

MailWatchLogging<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: MailWatch: Started MailWatch SQL Logging child<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Using SpamAssassin results cache<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Connected to SpamAssassin cache database<br>

May 10 08:51:41 vmlxmail1 MailScanner[154174]: Enabling SpamAssassin auto-whitelist<br>

functionality...<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Warning: skipping message 11A003C0065.AC53F as it<br>

has been attempted too many times<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Quarantined message 11A003C0065.AC53F as it caused<br>

MailScanner to crash several times<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: Saved entire message to<br>

/var/spool/MailScanner/quarantine/20190510/11A003C0065.AC53F<br>

May 10 08:51:43 vmlxmail1 MailScanner[152425]: New Batch: Scanning 1 messages, 7155 bytes<br>

<br>

So I already deleted the whole folder /var/spool/MailScanner/quarantine/20190510/ with its content.<br>

In MailWatch WebUI I can see the logged message headers, but no folder/files 11A003C0065.AC53F/message<br>

files (because deleted) as expected.<br>

<br>

I also mysqldump'ed the MailWatch DB and grep'ed inside whats written about 11A003C0065, i think<br>

there is only the logged headers of this queued messages inside.<br>

<br>

The Postfix queue is displaying me with "mailq" command only real queued messages, the message ID 11A003C0065 isn't in the postfix queue displayed.<br>

<br>

I am still searching in /var/spool/ anywhere where it could be possible where its telling<br>

MailScanner at start, that this Message is in --processing queue. No luck until now :-(<br>

<br>

Many Regards<br>

Schroeffu<br>

<br>

<br>

-- <br>

MailScanner mailing list<br>

<a rel="noreferrer noreferrer">mailscanner@lists.mailscanner.info</a><br>

<a rel="noreferrer noreferrer noreferrer">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>

<br>

</blockquote></div></div></div>