E-Posta Logları İnceleme

Sunucu üzerinde bazen illagel durumları tespit etmek istersiniz. bunun için yapmanız gereken bazı komutları aşağıda verilmektedir. Bu rapor çıktılarını inceleyerek genel bir yorum yapabilir hale gelirsiniz.

Sunucuya IMAP ve POP3 olarak bağlantı yapanları tespit etmek için.
4 Haziran Tarihinde Kim kaçkere Login olmuş.

E-Posta listesini olarak listeler, bağlantı sayıları ile birlikte
grep -i “Login: user” /var/log/dovecot-info.log |grep “Jun 04″|awk {‘print $7’}|sort|uniq -c|sort -n

IP Listesi ile birlikte görmek için
grep -i “Login: user” /var/log/dovecot-info.log |grep “Jun 04″|awk {‘print $7” “$9’}|sort|uniq -c|sort -n

Mail Log kayıtlarında SMTP Kullanarak Giriş Yapanları Tespit Etmek İçin (Web Üzerinden Bağlanma) Genellikle Spam Gönderilerin kimler tespit etmek için kullanılır.

Zaman Damgasız Sorgulama İçin
grep -i “sasl_username” /var/log/maillog |awk {‘print $9’}|sort|uniq -c|sort -n

Belirli Bir tarihi sorgulamak için
grep -i “sasl_username” /var/log/maillog |grep “Jun 4″|awk {‘print $9’}|sort|uniq -c|sort -n

Client ve Ip Adreslerini almak için
grep -i “sasl_username” /var/log/maillog |grep “Jun 4″|awk {‘print $9” “$7’}|sort|uniq -c|sort -n

Sunucu tarafından red edilen e-posta listesi
grep -i “NOQUEUE: reject:” /var/log/maillog |grep “Jun 4″|awk {‘print $10” “$21” “$22’}|sort|uniq -c|sort -n

Toplu E-Posta Çıkışını Loglardan Bulmak

Postfix Toplu E-posta Çıkış Kaynağını Bulma

Bizler ne kadar sunucuda güvenlik tedbirleri alsakta, mutlaka hepimizin başına abuse bildirim gelmektedir.

Genellikle müşterilerinizin bilgisayarlarına virus bulaşıp e-posta adresinin şifresi kaptırmış olmalarından kaynaklanır.

Her ne kadar abuse bildirimler toplu eposta çıkışımdan kaynaklı olmasada gönderilen içerik sahtekarlık ve aldatıcı e-posta olmasından dolayı acil müdehale edip gereğini yaparak abuse bildirimini sonlandırmanız gerekmektedir. Aksi taktirde sunucudaki IP adresine 24 saat sonunda Blok koyulur.

Postfix maillog kayıtları içinde size rapor edilen e-posta adresini aratınız.
bir dünya sonuç listenecektir. bizim için önemli olan ilk bulduğumuz satırdır.

cat /var/log/maillog [email protected]

Not : sikayet gelmemiş fakat kuyrukta çok fazla e-posta varsa hızlıca

cat /var/log/maillog | grep “sasl_method=LOGIN” 

komutu ile login olan kişileri gözden geçirerek bulmaya çalışırsınız. Örneğin bölge dışı aynı IP yada farklı IP den artarda bağlantı olunması gibi aşağıdaki örnekte görüldüğü şekli ile

Oct 18 12:15:20 server postfix/smtpd[21015]: C7CE7C5037FC5: client=unknown[13.72.68.51], sasl_method=LOGIN, sasl_username=eposta@alaadı.com

Oct 18 12:15:23 server postfix/smtpd[21015]: DC391C5037FC7: client=unknown[13.72.68.51], sasl_method=LOGIN, sasl_username=eposta@alaadı.com

Bize abuse ile postaadresi bildirildiğini düşünerek devam edelim.

Örnek :
Jun 3 02:44:21 server postfix/cleanup[12151]: 946E1C048889F: message-id=[email protected]

gibi bir satır bulacaksınız bu satırın bir satır öncesi yada bir kaç satır öncesini dikkatli inceleyiniz.

946E1C048889F id olan client ve sasl_method değerlerini inceleyin. Aşağıdaki gibi satır bulacaksınız.

Jun 3 02:44:20 server postfix/smtpd[1144]: 946E1C048889F: client=localhost.localdomain[127.0.0.1], sasl_method=LOGIN, sasl_username[email protected]

sisteme legal olarak oturum açtığı [email protected] kullanarak, illagel bir gönderimde bulunduğunu yüzlerce e-postayı kuyruğa girdiğinden anlamış olmalısınız.

yine hemen devamında kuyruğa e-posta soktuğu ve peşinden disconnect olduğunu göreceksiniz.

Jun 3 02:44:21 server postfix/qmgr[23595]: 946E1C048889F: from=[email protected], size=1104752, nrcpt=500 (queue active)
Jun 3 02:44:21 server postfix/smtpd[1144]: disconnect from localhost.localdomain[127.0.0.1]

cat /var/log/maillog |grep [email protected]

komutu ilede incelemeye devam edersiniz.

yine

cat /var/log/dovecot-info.log |grep [email protected] ile bağlantı saatine dikkate alarak ip adresini tespit edebilirsiniz.

ardından sistem [email protected] hesabını suspend etmek yada şifresini değiştirmek. Ancak müşterinize şifresini hemen vermeyin, bilgisayarını virus taramasından geçirmesini talep edin. yoksa aynı şey tekrar tekrar devam edecektir. ardından tespit ettiğimiz ip adresini güvenlik duvarından engelleyin.