web-dev-qa-db-ja.com

postfix / dovecot-ログファイルでSMTP認証ユーザーを表示する方法

CentOS 6システムでdovecotと仮想ユーザーでpostfixを使用しています。

私は最近、大量のスパムを受信しました。未知のアカウントから50の受信者のパックが大量に配信されました。

現在のログ(maillog)は、SMTP承認プロセスについて何も表示しません(SMTPの制限は、承認されたユーザーのみです)

私が持っているのは「エントリーポイント」だけです:

Oct 30 05:00:53 xxxxxxx postfix/qmgr [29457]:7157E115443B:[email protected]、size = 1463、nrcpt = 50(queue active)

その後、次の50:

Oct 30 05:12:50 xxxxxxx postfix/qmgr [29457]:7157E115443B:[email protected]、relay = none、delay = 19695

-vをmaster.cf行に追加してみました:

smtp      inet  n       -       n       -       -       smtpd -v

動作しますが、デバッグ情報が多すぎます

次のようなメールログにエントリを1つだけ含めるにはどうすればよいですか。

Oct 30 06:20:21 server postfix/smtpd [27864]:xsasl_dovecot_handle_reply:auth reply:[email protected]

sMTP認証の試行ごとに? (他に何もない、高いログレベルはありません)

3
Liviu

ログでは、SASLロギングの情報はstmpd行にあります(-vオプションなし):

Oct 30 13:19:26 mailgw-out1 postfix/smtps/smtpd[27530]: EB4B2C19E2: client=xxx[1.2.3.4], sasl_method=PLAIN, sasl_username=user@domain

Qmgrでは、キューマネージャであるため、認証はありません。

キューを(mailqコマンドで)チェックして、メールがたくさんあるかどうかを確認します。認証されている場合は、smptdのログをチェックしてユーザーを見つけます...

1
Dom

認証ログエントリは、postfix/qmgr(キューがアクティブ)メッセージの前のpostfix/smtpdから取得する必要があります。この例では、特定のメッセージID 7157E115443Bのすべてのログが表示されていないようです。ログ機能に問題があった可能性があります。

この質問がまだ最近の場合は、「grep 7157E115443B mail.log」を実行して結果を提供し、そうでないことを確認できるようにしてください。

Dovecotのログ設定は/etc/dovecot/conf.d/10-logging.confにあります。auth_verboseをyesに切り替えると、失敗したすべてのログインが表示されますが、成功したログインはすでに標準のログレベルで表示されているはずです。

Postfixを介してメールを送信すると、操作の順序は postfix操作フロー のようにメールログに次のように表示されます。

smtpdによる認証:

_Jan 27 09:09:55 mail postfix/smtpd[17400]: 2452C20028A: client=unknown[1.2.3.4], sasl_method=LOGIN, [email protected]_

掃除:

_Jan 27 09:09:55 mail postfix/cleanup[17633]: 2452C20028A: message-id=<[email protected]>_

qmgrキューイング:

Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: from=<[email protected]>, size=2704, nrcpt=1 (queue active)

smtpはアウトバウンドを送信します:

Jan 27 09:09:55 mail postfix/smtp[17634]: 2452C20028A: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.03/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6B86C20028C)

qmgrはキューから削除します:

_Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: removed_

1
TraceElements