Логи почты

0

0

Имеется шлюз, через который отправляют и получают почту.
Сами smtp и pop серверы используются чужие.
На этом шлюзе накапливается информация от tcpdump (с порта 25 и 110).
Но хотелось бы иметь информацию кто, когда и кому отправляет почту и от кого получает. Т.е. еще и адреса.
Реально ли это сделать без доступа к почтовому серверу?
Может есть ли какие-то утилиты?

Ссылка

←	Локальный newsserver

→

хакИр?

Valmont ★★★
(30.08.06 13:50:31 MSD)

Ссылка

> Но хотелось бы иметь информацию кто, когда и кому отправляет почту и от кого получает. Т.е. еще и адреса.

/var/log/mail.log

> Реально ли это сделать без доступа к почтовому серверу?

Конечно реально. Паяльник в руки и к админу.

Rain ★★★★
(30.08.06 14:07:38 MSD)

Ответ на: комментарий от Rain 30.08.06 14:07:38 MSD

Нет не хакир.
Мне лично это нафиг не надо. Просто руководство хочет контролировать, куда юзеры шлют письма. Я же могу только предоставить инфу о времени и объемах посланного и полученного.
Но я думал, а вдруг это возможно, т.к. где-то в пакетах хранятся данные об адресате.

anonymous
(30.08.06 14:20:37 MSD)

Ответ на: комментарий от anonymous 30.08.06 14:20:37 MSD

> Но я думал, а вдруг это возможно, т.к. где-то в пакетах хранятся данные об адресате.

Еще раз повторяю /var/log/mail.log

Rain ★★★★
(30.08.06 14:51:50 MSD)

У меня так работает postfix. Раз в день по крону дергается

pflogsumm -e /var/log/mail.log > /var/www/`date --iso-8601`.stats

Потом просто http://xxx.xxx.xxx.xxx/yyyy-mm-dd.stats

Rain ★★★★
(30.08.06 14:57:16 MSD)

Ссылка

Ответ на: комментарий от Rain 30.08.06 14:51:50 MSD

2 Rain: перечитайте вопрос - нет на этом шлюзе программы, которая могла бы писать в этот лог, всего лишь транзитные пакеты.

> Просто руководство хочет контролировать
Тогда пусть даст указ использовать ТОЛЬКО свои SMTP и POP3/IMAP сервер. Останется установить соответствующее ПО на шлюз, и все, что нужно, будет идти в логи.

А пока можно поставить только SMTP сервер и открыть в нем RELAY для всей локалки, пакеты на него перенаправлять через firewall. Появятся логи с исходящей почтой.
Еще можно посмотреть на delegate (http://delegate.org/delegate/), может он что умеет (сам не пользовался, не знаю).

spirit ★★★★★
(30.08.06 15:50:16 MSD)

Ответ на: комментарий от Rain 30.08.06 14:51:50 MSD

>Еще раз повторяю /var/log/mail.log

Так нет там ничего полезного. Это наверное на почтовом сервере есть нужная информация.
У меня же в mail.log такие строки:
---
Aug 30 14:50:07 host-156 sendmail[14081]: k7UBo543014081: from=root, size=452, class=0, nrcpts=1, msgid=<200608301150.k7UBo543014081@host-156.hitline.net.ua>, relay=root@localhost
Aug 30 14:50:08 host-156 sendmail[14082]: k7UBo6JX014082: to=root,
ctladdr=root (0/0), delay=00:00:02, xdelay=00:00:00, mailer=relay,
pri=30247, relay=[127.0.0.1] [127.0.0.1], dsn=4.0.0,
stat=Deferred: Connection refused by [127.0.0.1]
---
Есть конечно информация о smtp-сервере. Но это я и через tcpdump получить могу. Но адресов получателей то нет

anonymous
(30.08.06 15:59:51 MSD)

Ссылка

Ответ на: комментарий от spirit 30.08.06 15:50:16 MSD

> 2 Rain: перечитайте вопрос

Прошу прощения, неправильно понял вопрос.

Rain ★★★★
(30.08.06 16:11:49 MSD)

Ссылка

>На этом шлюзе накапливается информация от tcpdump (с порта 25 и 110).
Ну и какая проблема? Склеивать пакетики и анализировать. СМТП он ведь не шибко мудрёный.
Хотя проще всё-таки через свой сервер.

anonymous
(30.08.06 19:18:26 MSD)

Ссылка

>Может есть ли какие-то утилиты? 
ngrep 'MAIL FROM'
ngrep 'RCPT TO'

~~sdio~~ ★★★★★
(31.08.06 08:56:16 MSD)

Ответ на: комментарий от sdio 31.08.06 08:56:16 MSD

>Ну и какая проблема? Склеивать пакетики и анализировать. СМТП он ведь не шибко мудрёный.
>ngrep 'MAIL FROM'
>ngrep 'RCPT TO'
tcpdump возвращает информацию откуда куда и какой пакет пошел.
Т.е. "лок. адрес <-> smtp/pop сервер" и размер пакета.
TO и FROM он не содержит

anonymous
(31.08.06 09:07:29 MSD)