Ich habe auf meinem Server ja schon immer recht hohe Last. Im Regelfall pendelt sich diese so zwischen 4 und 6 ein, wenn der Server mittelmäßig zu tun hat. Besser wäre ein niedrigerer Wert, aber auch mit dem Wert kann man gut arbeiten.

Vor ein paar Tagen dann schoss die Load in Intervallen über 10 – immer mal wieder erreichte sie Werte über 30.

Ich war am Grübeln, woran das liegen könnte. Ich hatte kurz zuvor Movim installiert, also beendete ich den Dienst – was aber auch nichts brachte.

Ich spielte mit dem einen oder anderen Parameter. Ich schaute mir ionice an, um den Diensten passendere Prioritäten zu verpassen – nichts half so richtig.

In iotop fiel mir dann auf, dass der Mailserver erstaunlich viel I/O-Leistung zog. Das dann folgende mailq dauerte mehrere Minuten und zeigte mir fast 7.000 nicht zugestellte Mails an.

Da habe ich zunächst Panik geschoben und hatte den Verdacht, dass jemand auf meinen Server gekommen war, oder aber dass meine Mailserver-Konfiguration fehlerhaft sei, so dass mein Server ein offenes Relais sei.

Ich analysierte das Logfile und die nicht zugestellten Mails weiter und stellte fest, dass die Mails immer von einer bestimmten Mailadresse auf meinem Server kamen – und dass sich dieser User immer schön an meinem Mailserver per SASL anmeldete.

Langer Rede, kurzer Sinn: Ich hatte vor mehreren Jahren mal eine handvoll Testuser für den Mailserver angelegt, damit ich gut SOGo testen konnte. (Die User sind nur virtuelle User für den Mailserver, man kann sich damit nicht am System selber anmelden) Und wenn mich meine Erinnerung nicht trügt, habe ich die Kennwörter für einen dieser Testaccounts auch mal an Dritte gegeben.

Die betreffende Person (ich kann mich leider nur noch an den Sachverhalt erinnern, nicht aber daran, wer das genau war) hat sich also irgendwann in den Jahren etwas eingehandelt, so dass das Passwort wohl in irgendwelche Datenbanken geraten ist.

Ich habe die Mailq geleert, alle Testuser gelöscht und werde jetzt mal weiterschauen.