Log versendeter E-Mails?
- Thread starter tron
- Start date
Lord Gurke
Nur echt mit 32 Zähnen
Wenn nicht da, dann im allgemeinen Maillog unter /var/log/mail.info - da steht alles drin, was den Mailserver in irgendeiner Form berührt hat.
Hmm, in beiden finde ich nur Einträge ala
from: email@aussen
to: email@innen
Was ich suche ist genau der entgegengesetzte Weg
from: email@domainaufdemserver
to: email@irgendwoausserhalb
Muss ich das loggen vielleicht erst irgendwo "einschalten"? Hab jetzt die genannten und eigentlich auch fast alle anderen Logs durch, die ich so gefunden habe...
Oder gibt es einen anderen Weg, einen Spamversender, der über eines der Postfächer spamt zu finden?
Danke schon mal...
from: email@aussen
to: email@innen
Was ich suche ist genau der entgegengesetzte Weg
from: email@domainaufdemserver
to: email@irgendwoausserhalb
Muss ich das loggen vielleicht erst irgendwo "einschalten"? Hab jetzt die genannten und eigentlich auch fast alle anderen Logs durch, die ich so gefunden habe...
Oder gibt es einen anderen Weg, einen Spamversender, der über eines der Postfächer spamt zu finden?
Danke schon mal...
Lord Gurke
Nur echt mit 32 Zähnen
In dem Log müssten eigentlich sowohl ein- als auch ausgehende Mails protokolliert werden.
Mache doch mal ein
Wenn du was verdächtiges findest, kannst du über die Mail-ID (in der Form wie z.B. B03AB782147) den kompletten Weg der Mail verfolgen, der Name des Logfiles wird vor jedem Treffer ja angezeigt.
Woher weißt du denn, dass von dem Server aus Spam gesendet wird?
Mache doch mal ein
Code:
grep -H -i "email@innen" /var/log/mail.info
grep -H -i "email@innen" /var/log/mail.info.#
zgrep -H -i "email@innen" /var/log/mail.info.#.gzWenn du was verdächtiges findest, kannst du über die Mail-ID (in der Form wie z.B. B03AB782147) den kompletten Weg der Mail verfolgen, der Name des Logfiles wird vor jedem Treffer ja angezeigt.
Woher weißt du denn, dass von dem Server aus Spam gesendet wird?
MOD: Full-Quote entfernt!
Ich hab alles durch, aber ausser ein paar Einträge, dass DrWeb ausgehende mails gescannt hat, findet sich dort leider nichts weiter ...
Dadurch, dass bei einem Benutzer die Leitung fast dicht ist und sein Traffic auf dem Server von einem auf den anderen Tag extrem angestiegen ist. Traffic sinkt sofort, wenn ich seine Postfächer sperre. Er bekommt das über seinen ExchangeServer aber irgendwie nicht geloggt, welcher seiner Rechner der Übeltäter sein könnte. Auch mit der Nach-und-Nach-vom-Netz-nehmen-Methode leider nicht.
Nun suche ich irgendwelche Anhaltspunkte, damit man zumindest eventuell den betreffenden Account rausfinden kann...
Ich hab alles durch, aber ausser ein paar Einträge, dass DrWeb ausgehende mails gescannt hat, findet sich dort leider nichts weiter ...
Dadurch, dass bei einem Benutzer die Leitung fast dicht ist und sein Traffic auf dem Server von einem auf den anderen Tag extrem angestiegen ist. Traffic sinkt sofort, wenn ich seine Postfächer sperre. Er bekommt das über seinen ExchangeServer aber irgendwie nicht geloggt, welcher seiner Rechner der Übeltäter sein könnte. Auch mit der Nach-und-Nach-vom-Netz-nehmen-Methode leider nicht.
Nun suche ich irgendwelche Anhaltspunkte, damit man zumindest eventuell den betreffenden Account rausfinden kann...
Last edited by a moderator:
Lord Gurke
Nur echt mit 32 Zähnen
Lass auf dem Server doch mal iptraf laufen und schaue unter "IP Traffic Monitor" nach, ob von der IP dieses Benutzers wirklich zu Port 25 oder 578 verbunden wird.
Wenn er den Exchange für das Einsammeln von Mails von Extern konfiguriert hat, könnte sich dieser an einer (größeren?) eingehenden Mail verschluckt haben und ruft diese nun immer und immer wieder ab.
Wenn er den Exchange für das Einsammeln von Mails von Extern konfiguriert hat, könnte sich dieser an einer (größeren?) eingehenden Mail verschluckt haben und ruft diese nun immer und immer wieder ab.
Hallo!
Ja, so ähnlich muss der Fehler gewesen sein. Kurz vor meinem Urlaub hat er seinen Exchange rausgenommen und die Postfächer normal über die Clients abgefragt. Seitdem ist Ruhe.
Was mich aber trotzdem irgendwie interessiert: Warum wird in meinen Logs nichts über die ausgehenden E-Mails geloggt? Hat jemand eine Idee? Wie sieht das bei euch in den Logs aus? Für ein Beispiel wäre ich dankbar ...
Viele Grüße!
Ja, so ähnlich muss der Fehler gewesen sein. Kurz vor meinem Urlaub hat er seinen Exchange rausgenommen und die Postfächer normal über die Clients abgefragt. Seitdem ist Ruhe.
Was mich aber trotzdem irgendwie interessiert: Warum wird in meinen Logs nichts über die ausgehenden E-Mails geloggt? Hat jemand eine Idee? Wie sieht das bei euch in den Logs aus? Für ein Beispiel wäre ich dankbar ...
Viele Grüße!
Huschi
Moderator
Mögliche Erklärung aber kein Muss:
Ein Client wollte eine Email mit extrem langen Anhang verschicken. Dieser Versand wurde noch während dem DATA abgebrochen oder intern auf dem Server gibt es ein Problem mit zulangen Emails. (Z.B. wegen Postfix "queue file write error".) Der Exchange-Server versucht es aber immer und immer wieder.
Das würde Vieles erklären: Sowohl die verstopfte Leitung, als auch den erhöhten Email-Traffic, sowie die Ergebnisse bei den Versuchen die Clients abzuschalten bzw. die Mailbox zu deaktivieren.
Gegen die Theorie von Spam-Mails spricht, dass Du dies auf dem gesamten Server spüren würdest: größeren Logfiles, erhöhte Load, ansteigen der Mail-Queue.
Dennoch wäre mehr Info's über das System gut: Qmail oder Postfix, Vserver oder Dedi?
huschi.
Ein Client wollte eine Email mit extrem langen Anhang verschicken. Dieser Versand wurde noch während dem DATA abgebrochen oder intern auf dem Server gibt es ein Problem mit zulangen Emails. (Z.B. wegen Postfix "queue file write error".) Der Exchange-Server versucht es aber immer und immer wieder.
Das würde Vieles erklären: Sowohl die verstopfte Leitung, als auch den erhöhten Email-Traffic, sowie die Ergebnisse bei den Versuchen die Clients abzuschalten bzw. die Mailbox zu deaktivieren.
Gegen die Theorie von Spam-Mails spricht, dass Du dies auf dem gesamten Server spüren würdest: größeren Logfiles, erhöhte Load, ansteigen der Mail-Queue.
Dennoch wäre mehr Info's über das System gut: Qmail oder Postfix, Vserver oder Dedi?
huschi.
Ja, seitdem er sich von seinem ExChangeServer verabschiedet hat ist wie schon geschrieben alles normal. Auch die sonstigen Probleme (irgendwelche Timeouts, unversendete Mail etc.) die es manchmal gab, scheinen beseitigt.
Dediziertes Suse-Linux mit Plesk 9.5.1 und QMail(Plesk).