Вопросы Теги

постфикс/голубятня - как просмотреть smtp подлинного пользователя в файлах журнала?

Я использую постфикс с голубятней и виртуальными пользователями на песни 6 систем.

У меня был порыв спама недавно с тоннами пакетов 50 получателей, освобожденных из неизвестной учетной записи.

Текущий вход (maillog) ничего не отображает о процессе авторизации SMTP (ограничение на SMTP является только авторизованными пользователями),

Все, что я имею, является "точкой входа":

30 октября 5:00:53 xxxxxxx postfix/qmgr [29457]: 7157E115443B: from=aaa@bbb.com, size=1463, nrcpt=50 (активная очередь)

затем 50 из следующего:

30 октября 5:12:50 xxxxxxx postfix/qmgr [29457]: 7157E115443B: to=specialist@dddd.gov, relay=none, delay=19695

Я пытался добавить-v к master.cf строке:

smtp      inet  n       -       n       -       -       smtpd -v

и это работает - но это отображает слишком много информации об отладке

Как может я иметь только одну запись в maillog, таком как это:

30 октября 6:20:21 сервера postfix/smtpd [27864]: xsasl_dovecot_handle_reply: подлинный ответ: OK?2?user=user@domain.com

для каждой попытки автора SMTP? (и ничто иное, нет поднятый регистрирующийся уровень)

2
задан 30 October 2015 в 18:25
2 ответа

В журналах информация о ведении журнала SASL находится в строке stmpd (без параметра -v ): 

Oct 30 13:19:26 mailgw-out1 postfix/smtps/smtpd[27530]: EB4B2C19E2: client=xxx[1.2.3.4], sasl_method=PLAIN, sasl_username=user@domain

В qmgr нет аутентификации, поскольку это диспетчер очередей!

Проверьте свои очереди (с помощью команды mailq ), чтобы увидеть, много ли писем. Проверьте свои журналы на smptd, чтобы найти пользователя, если он был аутентифицирован ...

1
ответ дан 3 December 2019 в 12:43

Запись журнала аутентификации должна поступать из postfix / smtpd перед сообщением postfix / qmgr (очередь активна). Похоже, что мы не видим все журналы для этого конкретного сообщения с идентификатором 7157E115443B в этом примере, поэтому, возможно, у вас возникла проблема с вашим средством ведения журнала.

Если бы этот вопрос был еще свежим, я бы попросил вас запустить grep 7157E115443B mail.log 'и предоставьте результаты, чтобы мы могли убедиться, что это не так.

Параметры ведения журнала Dovecot находятся в /etc/dovecot/conf.d/10-logging.conf, где вы можете переключить auth_verbose на yes, что приведет к показать все неудачные входы в систему, но успешные входы уже должны появиться на стандартном уровне ведения журнала.

Когда я отправляю электронное письмо через постфикс, порядок операций в почтовом журнале должен выглядеть примерно следующим образом согласно поток операций постфикса :

auth by smtpd:

27 января, 09:09:55 mail postfix / smtpd [17400]: 2452C20028A: client = unknown [1.2.3.4], sasl_method = LOGIN, (скрыто) 27 09: 09:55 почтовый постфикс / очистка [17633]: 2452C20028A: (скрытая) очередь:

27 января 09:09:55 почтовый постфикс / qmgr [5728]: 2452C20028A: (скрытый) размер = 2704, nrcpt = 1 (очередь активна)

smtp отправляет исходящие сообщения:

27 января 09:09:55 почтовый постфикс / smtp [17634]: 2452C20028A: (скрытый) relay = 127.0.0.1 [127.0.0.1]: 10024, delay = 0.3, delay = 0.03 / 0/0 / 0.27, dsn = 2.0.0, status = sent (250 2.0.0 от MTA (smtp: [127.0.0.1]: 10025): 250 2.0.0 Ok: в очереди как 6B86C20028C)

qmgr удаляет из очереди:

27 января 09:09:55 postfix почты / qmgr [5728]: 2452C20028A: удалено

0
ответ дан 3 December 2019 в 12:43

Теги

Похожие вопросы