postfix / dovecot - como visualizar o usuário smtp auth em arquivos de log?

2

Estou usando o postfix com usuários dovecot e virtuais em um sistema centos 6.

Eu tive uma onda de spam recentemente, com toneladas de pacotes de 50 destinatários entregues a partir de uma conta desconhecida.

O log atual (maillog) não exibe nada sobre o processo de autorização SMTP (a restrição no SMTP é somente para usuários autorizados)

Tudo o que tenho é o "ponto de entrada":

Oct 30 05:00:53 xxxxxxx postfix/qmgr[29457]: 7157E115443B: [email protected], size=1463, nrcpt=50 (queue active)

e depois 50 dos seguintes:

Oct 30 05:12:50 xxxxxxx postfix/qmgr[29457]: 7157E115443B: [email protected], relay=none, delay=19695

Eu tentei adicionar -v à linha master.cf:

smtp      inet  n       -       n       -       -       smtpd -v

e funciona - mas exibe muita informação de depuração

Como posso ter apenas uma entrada no maillog como esta:

Oct 30 06:20:21 servidor postfix / smtpd [27864]: xsasl_dovecot_handle_reply: resposta de autenticação: [email protected]

para cada tentativa de autenticação SMTP? (e nada mais, nenhum nível elevado de registro)

    
por Liviu 30.10.2015 / 13:15

2 respostas

1

Nos logs, as informações de registro SASL estão na linha stmpd (sem a opção -v ):

Oct 30 13:19:26 mailgw-out1 postfix/smtps/smtpd[27530]: EB4B2C19E2: client=xxx[1.2.3.4], sasl_method=PLAIN, sasl_username=user@domain

No qmgr, não há auth, pois é o gerenciador de filas!

Verifique suas filas (pelo comando mailq ) para ver se há muitos e-mails. Verifique seus logs no smptd para encontrar o usuário, se ele foi autenticado ...

    
por 30.10.2015 / 13:38
0

A entrada do log de autenticação deve vir de postfix / smtpd antes da mensagem postfix / qmgr (queue active). Parece que não estamos vendo todos os registros para esse ID de mensagem particular 7157E115443B no exemplo, então talvez você tenha tido um problema com seu recurso de registro.

Se esta questão ainda fosse recente, eu solicitaria que você executasse o 'grep 7157E115443B mail.log' e fornecesse os resultados para que pudéssemos ter certeza de que não é o caso.

As configurações de log do Dovecot estão em /etc/dovecot/conf.d/10-logging.conf, onde você pode alternar auth_verbose para yes, o que mostrará todos os logins com falha, mas os logins bem-sucedidos já devem aparecer no nível de log padrão.

Quando eu envio um email via postfix, a ordem das operações deve aparecer da seguinte forma no log de email, conforme o fluxo de operação do postfix :

auth por smtpd:

Jan 27 09:09:55 mail postfix/smtpd[17400]: 2452C20028A: client=unknown[1.2.3.4], sasl_method=LOGIN, [email protected]

limpeza:

Jan 27 09:09:55 mail postfix/cleanup[17633]: 2452C20028A: message-id=<[email protected]>

enfileiramento qmgr:

Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: from=<[email protected]>, size=2704, nrcpt=1 (queue active)

smtp envia saída:

Jan 27 09:09:55 mail postfix/smtp[17634]: 2452C20028A: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.03/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6B86C20028C)

qmgr remove da fila:

Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: removed

    
por 27.01.2017 / 17:43