У меня есть такие строки в /var/log/messages:
Jul 12 01:26:00 h2 xinetd[1596]: START: smtp pid=11253 from=::ffff:221.219.213.54
Мне нужно знать, является ли это подключением к электронной почте наподобие тех, которые создаются, когда один сервер отправляет электронную почту другому. ИЛИ это соединение, при котором пользователь входит на сервер (обычно с пользователем / паролем), например, по IMAP или POP, и свободно отправляет электронные письма.
Изменить: этот IP-адрес отображается в заголовке возвращенного электронного письма
Received: from unknown (HELO 176.9.76.194) (221.219.213.54)
by h2.adriantnt.com with SMTP; 12 Jul 2015 01:26:02 +0200
Received: from 233.246.168.139 by 221.219.213.54; Sat, 11 Jul 2015 22:16:46 -0100
176.9.76.194 мой сервер
Я не уверен, является ли это поддельным рикошетом или сообщением, отправленным с моего сервера, последнее означает, что кто-то имеет несанкционированный доступ к серверу, поскольку он обычно не открыт для входа пользователей типа IMAP / POP.
Этот журнал показывает только то, что xinetd получил запрос на порт, связанный с smtp, и отправил его процессу smtp.
Поскольку вы находитесь на centos, если вы хотите увидеть активность пользователей при входе в систему, вам нужно будет посмотреть на /var/log/wtmp файл с помощью utmpdump команда.
Эта строка говорит нам только о том, что вы получаете соединение с xinited сервером, "пробуждающим" smtp-сервер посредством соединения, запрошенного с данного IP-адреса.
Посмотрите в журнале сервера smtp, какую операцию запрашивает демон. Предоставленная информация не даст нам ни малейшего представления о том, о чем вы спрашиваете, и, скорее всего, будет отклонена, если вы не добавите дополнительные данные.
Если под пользователем входит в систему на сервере, вы имеете в виду SSH, это происходит в порту SSHD, который по умолчанию равен 22, а порт smtp по умолчанию равен 25, когда запрашивается любой вид шифрования.