Interpretace logu postfixu

Zdeněk Mazanec bluehawk na betateam.com
Čtvrtek Prosinec 11 12:57:47 CET 2008


DO,

> nejak jsem se zamotal, kdyz jsem se pokousel "precist" log z postfixu.
> Predpokladam, ze zprava v logu:
>
> Dec 10 14:49:17 mail postfix/smtpd[27172]: connect from
> j7052.upc-j.chello.nl[24.132.7.52]
> Dec 10 14:49:19 mail postfix/smtpd[27172]: NOQUEUE: reject: RCPT from
> j7052.upc-j.chello.nl[24.132.7.52]: 554 5.7.1 <l.vlcek na noel-plus.cz>:
> Sender address rejected: Access denied; from=<l.vlcek na noel-plus.cz>
> to=<l.vlcek na noel-plus.cz> proto=SMTP helo=<j7052.upc-j.chello.nl>
>
> znamena, ze "pacholek" z chello.nl se mi pokusil dorucit svuj spam a byl
> (mel by byt) odmitnut. Je zrejme, ze se jedna o spam, staci provnat
> adresy from: a to: ...  :-)

Nikoliv, ve skutecnosti byl tento email zamitnout, protoze se nepodarilo 
overit adresu udajneho odesilatele (l.vlcek na noel-plus.cz).
Ve from je v tomto pripade identifikace odesilajiciho pocitace, nikoliv 
emailova adresa.
Zajimave je, ze slo o pokus o doruceni na vas stroj pricemz vas stroj vam 
nasledne nedokazal poslat zpravu .


> Nicmene, "o kus dal" najdu v logu tohle:
>
> Dec 10 14:49:37 mail postfix/smtpd[27172]: A5E4E13798:
> client=j7052.upc-j.chello.nl[24.132.7.52]

To spolu vubec nemusi souviset.


> A ve schrance najdu e-mail s tim samym identifikatorem (A5E4E13798).
> Puvodne jsem si myslel, ze se jedna o dalsi pokus spamera, ale nikde
> jsem nenasel (mezi uvedenymi casy) zaznam o pokus o dalsi spojeni.
Dalsi zaznam bude az za tim "druhym", niklovi mezi nimi. Tam hledejte.

> Ted nechci zkoumat, "jak moc" mam filtrovaci pravidla
> dobre/vhodne/spatne/nevhodne, to si preberu ve dalsim kroku.
> Zatim by mi stacilo, jestli by se nasla nejaka dobra a znala duse, ktera
> by mi pomohla s vykladem zaznamu v logu...
Doufam, ze se stalo ;-)

ZM



Další informace o konferenci Linux