У меня есть несколько машин, которые имеют доступ к одной и той же учетной записи pop3. Записывает ли система / сервер, когда был доступ к почтовой учетной записи? Если да, то какая еще информация обычно записывается? IP-адрес машины, с которой осуществляется доступ? MAC-адрес? Почтовый клиент использовал?
любая помощь очень ценится
Это зависит от ряда факторов - от используемого серверного программного обеспечения (Courier, Dovecot и т. Д.), Но для ответа на большинство ваших вопросов и при условии, что это почтовый сервер на базе Linux:
Большинство ваших информационных сообщений из почтовой системы попадут в /var/log/mail.info
, /var/log/maillog
, или /var/log/messages
.
Обратите внимание, что многое из этого также зависит от syslog
демон на самом почтовом сервере относительно того, где заканчивается информация.
Протокол POP3 не позволяет клиенту идентифицировать себя за пределами области протокола (то есть нет строки User-Agent в стиле журналов доступа Apache), IIRC.
MAC-адрес ничего не значит в этом сценарии.
Любые ошибки или другие сбои также будут записаны, возможно, с большей ясностью в зависимости от установленных вами параметров ведения журнала.
Как правило, вы можете получить время доступа к учетной записи (и с каким логином), а также удаленные / локальные IP-адреса, используемые для этого. Вот пример строки из события входа в систему Dovecot:
Nov 30 18:20:46 SCSIServer dovecot: pop3-login: Login: user=<user2>,
method=PLAIN, rip=192.168.1.115, lip=192.168.1.199
В зависимости от необходимого вам уровня детализации вы также можете настроить параметры Dovecot auth *. Я выбрал Dovecot, потому что это обычное развертывание, однако дополнительную информацию можно найти в документации вашего почтового сервера. Если это Exchange или другая служба Windows, начните искать в соответствующем журнале событий.