Я использую postfix с dovecot и виртуальными пользователями в системе centos 6.
Недавно на меня пошла волна спама, когда с неизвестного аккаунта были доставлены тонны пакетов по 50 получателей.
В текущем журнале (maillog) ничего не отображается о процессе авторизации SMTP (ограничение на SMTP только для авторизованных пользователей)
Все, что у меня есть, это «точка входа»:
30 октября 05:00:53 xxxxxxx postfix / qmgr [29457]: 7157E115443B: from=aaa@bbb.com, size = 1463, nrcpt = 50 (очередь активна)
затем 50 из следующих:
30 октября 05:12:50 xxxxxxx postfix / qmgr [29457]: 7157E115443B: to=specialist@dddd.gov, relay = none, delay = 19695
Я попытался добавить -v в строку master.cf:
smtp inet n - n - - smtpd -v
и он работает - но отображает слишком много отладочной информации
Как я могу иметь только одну запись в почтовом журнале, например:
30 октября 06:20:21 сервер postfix / smtpd [27864]: xsasl_dovecot_handle_reply: ответ авторизации: OK?2?user=user@domain.com
для каждой попытки аутентификации SMTP? (и ничего больше, без повышенного уровня ведения журнала)
Запись журнала аутентификации должна поступать из postfix / smtpd до сообщения postfix / qmgr (очередь активна). Похоже, что мы не видим все журналы для этого конкретного сообщения с идентификатором 7157E115443B в этом примере, поэтому, возможно, у вас возникла проблема с функцией ведения журнала.
Если бы этот вопрос был еще свежим, я бы попросил вас запустить grep 7157E115443B mail.log и предоставить результаты, чтобы мы могли убедиться, что это не так.
Параметры ведения журнала Dovecot находятся в /etc/dovecot/conf.d/10-logging.conf, где вы можете переключить auth_verbose на yes, при этом будут отображаться все неудачные входы в систему, но успешные входы уже должны отображаться на стандартном уровне ведения журнала.
Когда я отправляю электронное письмо через постфикс, порядок операций в почтовом журнале должен выглядеть следующим образом в соответствии с поток постфиксных операций:
авторизация по smtpd:
Jan 27 09:09:55 mail postfix/smtpd[17400]: 2452C20028A: client=unknown[1.2.3.4], sasl_method=LOGIN, sasl_username=user@domain.com
очистка:
Jan 27 09:09:55 mail postfix/cleanup[17633]: 2452C20028A: message-id=<xxxxxxxxxxxxxxxxxxxxx@domain.com>
qmgr очереди:
Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: from=<user@domain.com>, size=2704, nrcpt=1 (queue active)
smtp отправляет исходящие:
Jan 27 09:09:55 mail postfix/smtp[17634]: 2452C20028A: to=<destination@domain2.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.3, delays=0.03/0/0/0.27, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 6B86C20028C)
qmgr удаляет из очереди:
Jan 27 09:09:55 mail postfix/qmgr[5728]: 2452C20028A: removed
В журналах информация о ведении журнала SASL находится в строке stmpd (без -v вариант):
Oct 30 13:19:26 mailgw-out1 postfix/smtps/smtpd[27530]: EB4B2C19E2: client=xxx[1.2.3.4], sasl_method=PLAIN, sasl_username=user@domain
В qmgr нет авторизации, так как это диспетчер очередей!
Проверьте свои очереди (по mailq command), чтобы узнать, много ли писем. Проверьте свои журналы на smptd, чтобы найти пользователя, если он был аутентифицирован ...