Назад | Перейти на главную страницу

Журнал парсинга для идентификации писем, отправленных другому MTA

У меня есть Courier MTA, который, кажется, рассылает спам. Я хочу очистить журнал курьера mail.log, чтобы определить каждое письмо, отправленное на другой MTA:

Вот записи Courier mail.log для электронного письма (не спама), которое было отправлено внутри ящика, на котором запущена sendmail. Sendmail ретранслировал электронное письмо в Courier MTA, который затем отправил его на один из MTA Gmail.

Mar  4 08:49:01 triplite courierfilter: zdkimfilter[24066]:id=00000000003E06E2.0000000054F7296D.00005E01: signing for production with domain some.where, selector somewhere-dkim
Mar  4 08:49:01 triplite courierfilter: zdkimfilter[24066]:id=00000000003E06E2.0000000054F7296D.00005E01: response: 250 Ok.
Mar  4 08:49:01 triplite courierd: newmsg,id=00000000003E06E2.0000000054F7296D.00005E01, auth=production: dns; alum.internal.some.where ([::ffff:10.1.0.52])
Mar  4 08:49:01 triplite courierd: started,id=00000000003E06E2.0000000054F7296D.00005E01,from=<production@some.where>,module=esmtp,host=gmail.com,addr=<fred@bed.rock>
Mar  4 08:49:01 triplite courierd: Waiting.  shutdown time=none, wakeup time=Wed Mar  4 08:49:03 2015, queuedelivering=72, inprogress=1
Mar  4 08:49:03 triplite courieresmtp: id=00000000003E06E2.0000000054F7296D.00005E01,from=<production@some.where>,addr=<fred@bed.rock>: 250 2.0.0 OK 1425484143 c10si5455351pds.183 - gsmtp
Mar  4 08:49:03 triplite courieresmtp: id=00000000003E06E2.0000000054F7296D.00005E01,from=<production@some.where>,addr=<fred@bed.rock>,size=1251,success: delivered: gmail-smtp-in.l.google.com [74.125.28.27]
Mar  4 08:49:03 triplite courieresmtp: id=00000000003E06E2.0000000054F7296D.00005E01,from=<production@some.where>,addr=<fred@bed.rock>,size=1251,status: success
Mar  4 08:49:03 triplite courierd: completed,id=00000000003E06E2.0000000054F7296D.00005E01

Кажется, что строка "newmsg" сообщит мне, откуда пришло электронное письмо. Но я не уверен, какие записи в журнале использовать, чтобы увидеть, что сообщение было отправлено другому MTA. Будет ли правильным вариант «Успех: доставлен»? Есть ли другие способы, которыми отправленные электронные письма отображаются в журнале?

Да, "newmsg" сообщает DNS-идентификацию исходного реле. Он содержит запись «auth =» на случай, если отправка была аутентифицирована. "couriersmtp" (без заключительной "d") - это клиент SMTP, который обычно выполняет ретрансляцию по очереди. Теоретически почту также можно пересылать через UUCP, что в наши дни довольно необычно.

Вы можете попробовать Courier-analog, это простой Perl-скрипт, который генерирует (html) сводки активности путем анализа журналов.