Предупреждение Graylog на уникальном адреса электронной почты?
Мы пытаемся выяснить, есть ли способ создать поток / предупреждение, которое будет определять, когда адрес электронной почты был в журнале более X раз. Из того, что мы можем сказать, я могу только подсчитать общее количество сообщений, соответствующих потоку.
Например, мы хотели бы предупреждать в поле с именем «mailaddress», если значение было одинаковым более 10 раз в за последнюю минуту. У кого-нибудь есть идеи, как это сделать?
Существует ряд инструментов, предназначенных для сканирования журналов. fail2ban - один из них. Вам нужно будет настроить выражение для соответствия и настроить соответствующее действие. Это может включать временное занесение пользователя в черный список на брандмауэре.
Вы можете обнаружить плохо настроенные серверы, у которых начальное время повтора настроено в секундах, а не в минутах или часах. Спам-боты, вероятно, будут часто менять свои адреса отправки, поэтому вы можете их пропустить.
Я видел, как несколько массовых рассылок повторяют запросы с высокой скоростью, используя разные IP-адреса для каждого запроса. Соответствующие домены обычно согласованы на первых двух или трех уровнях.
Я бы исправил отправленные дубликаты, исправив данные списка рассылки. У вас будут дубликаты временных отказов, которые следует повторить на вашем почтовом сервере. Используйте разумную начальную попытку, например 1 час, и следите за своей очередью на предмет записей, которые находились в очереди некоторое время. Доменная часть адреса электронной почты всегда нечувствительна к регистру, а левый сайт почти всегда нечувствителен к регистру.
Большинство почтовых серверов удаляют повторяющиеся адреса в одном и том же сообщении. Однако это не помогает, если сообщения индивидуализированы.
Мой сервер будет откладывать доставку более чем на час для каждого обнаруженного мной нарушения RFC. Сюда входят rDNS, ELHO name match DNS, SPF и другие. Есть и другие причины задержки сообщения. Причина задержки доставки должна быть зарегистрирована.