У меня вопрос по exim_mainlog.
В настоящее время я изучаю сервер, который использовался для рассылки спама. Журнал заполнен прочитанными сообщениями (около 12 в минуту);
2012-04-04 11:42:55 1SFNfz-0005Nv-EN => пользователь R = localuser T = local_delivery
Я пропустил домен и пользователя.
Указывает ли этот журнал, что этот сервер не отправляет почту, а получает почту из какого-либо другого источника?
Этот журнал означает, что идентификатор сообщения 1SFNfz-0005Nv-EN был направлен через localuser маршрутизатор и в конечном итоге доставляется через local_delivery транспорт.
Не просматривая подробно вашу конфигурацию, невозможно узнать, что именно произошло, но если вы не изменили сильно, можно с уверенностью сказать, что письмо было отправлено на user@example.com где user является фактическим пользователем вашего почтового сервера, и example.com - это локальный домен для доставки exim'ом.
Нет. Это только указывает на то, что входящее сообщение было успешно доставлено в почтовый ящик.
Exim регистрирует хост, который инициировал SMTP-сессию, а не тот, который отправил сообщение. Заголовки могут содержать цепочку реле, включая самое первое, но заголовки могут быть подделаны.