Another day at the office..

Het gebeurt. Je krijgt telefoon dat iemand sinds twee dagen geen mail ontvangt. Het blijkt om een account te gaan draaiend op een Windows 2008 Server. Zoeken naar de oorzaak toont aan dat de server nog wel meer mankeert. Website’s komen niet verder dan
Server Error in ‘/cms’ Application.
Inloggen op de betrokken server verloopt traag. Als dat eenmaal lukt verschijnt er een bericht dat er mallware ontdekt is. OK, dat gebeurt, zeker in de mail-mappen van MailEnable. Er wordt immers wat rotzooi verstuurd. Troep opgeruimd, maar nu, wat is er de oorzaak van dat de websites niet werken en dat mensen geen mail krijgen?
De schijf blijkt ineens vol te zitten. Uit de log-bestanden in C:\Program Files(x86)\MailEnable\Logging\SMTP blijkt dat er de laatste twee dagen enorme hoeveelheden mail verstuurd zijn. Normaal is een log bestand enkele honderden kB of over 1MB groot, de laatste dagen zijn ze royaal over de 100MB groot. Dat kan niks goeds betekenen.

Eerst maar eens de services uitgezet die betrokken zijn bij verzending van mail, anders dweilen we met kraan open:
MailEnable Administartor starten, Achtereenvolgens klikken: MailEnable Management -> Servers -> Localhost -> System, de services stoppen met de namen Mailenable Mail Transfer Agent en MailEnable SMTP Connector.

Log files bekijken, de oorzaak blijkt dat de spam vanuit allemaal vanuit info@.nl stamt. Slecht nieuws voor één van de klanten..
De map C:\Program Files(x86)\MailEnable\postoffices\\MAILROOT\info staat vol,
Verder heel veel uitgaande spam met als gemeenschappelijke kenmerk zijn accountnaam info@domein.nl als afzender. Dat betekent een paar hoderdduizend bestanden op kenmerk doorzoeken en wegkiepen. Niet grappig..
In de C:\Program Files(x86)\MailEnable\postoffices\Queues\SMTP\Outgoing staat ook nog veel. Subtiel proberen te deleten met:

for /f "tokens=1 delims=:" %I in ('findstr SOMEstring *MAI') do @del messages\%I
for /f "tokens=1 delims=:" %I in ('findstr SOMEstring *MAI') do @del %I

Leuk scriptje, werkte verschrikkelijk traag en deed niet wat ik verwachte. Jammer, Microsoft, en ik heb nu niet de tijd om te debuggen… Dan maar anders. In ieder geval, de machine moet vannacht hard werken.

Mailqueue na geplozen, enorme bergen mail (Spam) verwijderd. Vervolgens de betrokken mail-account disabled:
Achtereenvolgens klikken: MailEnable Management -> Messaging Management -> Post Offices ->
Domein gedisabled, Het domein open geklikt en in de Mailbox de gebruiker geblokkeerd.

Verder dan maar met opruimen log-files in C:\Program Files(x86)\MailEnable\logging\SMTP.

Explorer -> Desktop (bovenaan) -> Recycle Bin. Met een rechter muisknop zou je nu de optie op kunnen roepen de prullenbak leeg te maken.
En anders de command line in een DOS-venstertje:

 
c:
rd /s \$Recycle.bin

Het verwijderen verloopt zeeeeeer traaaaaaaag… De volgende keer dat er in Windows een bestand wordt verwijderd, wordt de directory met inhoud weer aangemaakt.
In ieder geval is het allemaal goed gegaan, er zijn weer enkele tientallen GBytes aan ruimte vrij gekomen, de machine reageert weer vlot. Ook nog de schijf gedefragmenteerd, kunnen we binnenkort weer fijn een integraal disk image kopieren en eventueel wat inkrimpen..