Probleme priv1.edb E000x.log qui s'emballe

[cjoly]

Bonjour,

Depuis dimanche, nous avons un problème avec notre serveur de messagerie Exchange 2000 sur Windows 2000 (serveur antivirus Trend Serveur Protect et Scanmail)

Le fichier priv1.edb enfle à vitesse grand V (de l'ordre de plusieurs dizaine de Mo/mn !) sans compter les fichiers E000x.log qui se crée (2/3 de 5Mo par minute).

Je viens d'arreter les services Exchange pour ne pas saturer les disques.
J'ai également passer en cyclique la création des fichiers E000x.log pour gagner de l'espace disque mais c'est une solution provisoire ne réglant pas le problème de fond.

N'étant pas du tout habitué à travailler avec Exchange, j'avoue que je ne sais pas trop par où commencer pour trouver l'origine du problème.

Si une âme charitable pouvait me donner des pistes...

Merci d'avance pour votre aide.

[Touhtion]

Bonjour,
as tu vérifié via le post en annonce la configuration de ton antivirus?

[cjoly]

Merci pour ton aide.

7.a. Configurer son antivirus sur un serveur Exchange

les bases de données et fichiers journaux Exchange à travers les groupes d'administration. Par défaut, ils sont situés dans le dossier Exchsrvr\Mdbdata.
• les fichiers Exchange MTA dans le dossier Exchsrvr\Mtadata.
• d'autres fichiers journaux tels que le répertoire Exchsrvr\nom_serveur.log.
• le dossier du serveur virtuel Exchsrvr\Mailroot.
• le dossier temporaire qui est défini par les variables système TMP et TEMP. Par défaut, le dossier temporaire est utilisé pour stocker les fichiers temporaires en continu qui sont utilisés pour convertir des messages.
• Le dossier temporaire est utilisé en combinaison avec les utilitaires de maintenance hors connexion tels que Eeseutil.exe. Par défaut, ce dossier est l'emplacement à partir duquel le fichier .exe est exécuté, mais vous pouvez configurer l'emplacement à partir duquel vous exécutez le fichier lorsque vous exécutez l'utilitaire.
• Les fichiers du service de réplication de site (SRS) dans le dossier Exchsrvr\Srsdata.
• Les fichiers système des services Internet (IIS) Microsoft dans le dossier %SystemRoot%\System32\Inetsrv.

Excluez le dossier contenant le fichier de point de vérification (.chk) des analyseurs.

Globalement On peut exclure tous les répertoires liés à Exchange des analyses antivirus.

Si il s'agit bien de cet article, oui j'y avais jeté un oeil. Je viens d'ailleurs pour vérifier d'enlever du Real-Time Scan l'ensemble du repertoires exchsrvr.

Mais rien n'y fait, le fichier priv1.edb continue d'enfler (il est passé de 7Go à 10Go en l'espace de 3h...)

[Touhtion]

as tu essayé de couper ton service smtp histoire d'arrêter l'arrivée de mails pour voir?
vérifies également ta configuration savoir si tu n'es pas en open relay.

[cjoly]

as tu essayé de couper ton service smtp histoire d'arrêter l'arrivée de mails pour voir?

Je viens de le faire.
Je prend une pause dejeuner rapide et regarde le résultat sur le fichier priv1 en revenant.
Question idiote : qu'est ce que le fichier priv1 exactement ?

vérifies également ta configuration savoir si tu n'es pas en open relay.

Peux tu m'aiguiller pour vérifier ce point ?

[Touhtion]

priv1 contient les infos de la banque privée (BAL et autres infos nécessaires au fonctionnement de la banque)

Citation:
vérifies également ta configuration savoir si tu n'es pas en open relay.


Peux tu m'aiguiller pour vérifier ce point ?

la procédure est décrite dans le post en annonce

[cjoly]

Donc concernant le service SMTP, effectivement arrêté, le fichier priv1 arrête de prendre du poids.

Concernant l'open-relay et si j'ai suivi le bon lien, j'ai donc paramétré dans les propriétés sur serveur SMTP par défaut/relais/accès/restriction de relais la plage d'adresse IP de mon réseau interne.
J'ai ensuite relancé tout les services liés à Exchange et SMTP.

Malheureusement, cela n'a pas l'air de changer la donne.....passé de 7Go ce matin à 14Go maintenant :/

6.d. Configurer un connecteur SMTP vers Internet
Configurer un connecteur SMTP vers Internet pour Exchange

[cjoly]

En farfouillant un peu dans le gestionnaire système exchange, et en regardant dans la file d'attente, je suis tombé sur une 60aine de mail d'allure suspecte et tous identique (postmaster@cccreezetzezeze.fr ou quelque chose comme ca)

Donc ==> suppression.

Depuis le système a l'air d'être de nouveau stable.

De plus le processeur qui était pendant le temps qu'à duré le problème à 80/90% d'utilisation (je m'en suis rendu compte seulement cet après midi) est redescendu à des valeurs correctes, entre 5 et 10%.

Dernière question toutefois : le fichier priv1.edb a donc au moins triplé de volume, étant actuellement à 14Go (il était à 7Go ce matin) et j'imagine, beaucoup moins hier.
Je vais faire une compression de la base demain mais je suis curieux de savoir concrètement comment cette 60aine de mails douteux a pu faire gonfler ce fichier de plusieurs dizaines de Go. Une explication par un expert ?


J'attend un peu avant de mettre la balise résolue à ce post.

[Thierry DEMAN (MVP Exchan]

Bonsoir,

à mon avis, en plus des 60 mails douteux, il a du y avoir de nombreux messages de SPAM qui sont passés et qui ont fait travaillé ton serveur.
=> il y a peut être maintenant des messages dans les dossiers "courrier indésirable des utilisateurs.

A bientôt,

[cjoly]

On recoit de toutes façon régulièrement des spams, très nombreux. Le problème est qu'actuellement je ne peux pas les supprimer à la source : notre serveur Exchange n'est pas directement sur le réseau exterieur.

Le fonctionnement actuel est donc le suivant :
Un logiciel type fetchmail va chercher les mails des différentes boîtes pop des utilisateurs, et les transfère à Exchange qui se charge de la distribution locale.
C'est pendant cette distribution que l'antispam, Scanmail, fait son travail.
Je suis conscient par contre qu'il s'agit d'un problème dans la mesure où le spam augmente et où une bonne partie de notre bande passante est utilisée pour rapatrier 90% de mails inutiles....

Pour en revenir à mon problème, je n'ai pas trouver dans la banque de boîtes aux lettres une boîte suspecte ayant éventuellement recu un nombre indécent de spam.

Par contre depuis quelques temps, je constate une recrudescence d'alerte de type Undeliverable :

Undeliverable : freewheeling cordial
Certains des destinataires ou tous les destinataires n'ont pas reçu votre message.

Objet : freewheeling cordial
Date : 04/01/2007 23:33

Impossible de contacter le(s) destinataire(s) suivant(s) :

conner@rotival.com le 04/01/2007 23:33
The e-mail account does not exist at the organization this message was sent to. Check the e-mail address, or contact the recipient directly to find out the correct address.
< s5c.adeli.fr #5.1.1 SMTP; 550 5.1.1 <conner@rotival.com>... User unknown>

Je me demande si un virus, non détecté, ne sevirait pas sur mon réseau....