Isso depende de vários fatores - o software do servidor sendo usado (Courier, Dovecot, etc), mas para responder a maioria das suas perguntas, e assumindo que este é um servidor de e-mail baseado em Linux:
-
A maioria de suas mensagens de registro informativas do sistema de e-mail terminará em
/var/log/mail.info,/var/log/maillogou/var/log/messages. -
Observe que muito disso também depende do daemon
syslogno próprio servidor de e-mail, de onde as informações acabam. -
O protocolo POP3 não permite que um cliente se identifique fora do escopo do protocolo (ou seja, não há uma cadeia de caracteres do User Agent nos logs de acesso do Apache), IIRC.
-
O endereço MAC não significaria nada neste cenário.
-
Quaisquer erros ou outras falhas serão registrados também, talvez com mais clareza, dependendo das opções de registro que você definiu.
Geralmente, você pode recuperar a hora em que a conta foi acessada (e com qual login) e os endereços IP remotos / locais usados para fazer isso. Aqui está uma linha de exemplo de um evento de login da Dovecot:
Nov 30 18:20:46 SCSIServer dovecot: pop3-login: Login: user=<user2>,
method=PLAIN, rip=192.168.1.115, lip=192.168.1.199
Dependendo do nível de detalhamento que você precisa, você pode ajustar os parâmetros auth * do Dovecot também. Eu escolhi o Dovecot porque é uma implantação comum, no entanto, verifique a documentação do seu servidor de email para mais. Se este for o Exchange ou outro serviço do Windows, comece a procurar em qualquer que seja o log de eventos apropriado.