質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • CentOS

    2767questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

メールサーバのログ解析について

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 10K+

R30san

score 22

メールサーバのログ解析方法について教えて下さい。

会社で運用しているメールサーバがあるのですが、情報漏えいかと思われる事象が
発生しました。
メールサーバのログの中から、外部に送った(社内宛、関係者外に送った)アカウントを特定したいと思っているのですが、いい方法が見つかりません。
メールサーバから外部に送ったアドレスを特定するにはどうしたらいいでしょうか。

【現在わかっている情報は下記となります】
・運用しているメールサーバの中で利用しているアカウント
・メールのログ保存期間は90日

【環境】
■OS環境
 Red Hat Enterprise Linux ES release 3 (Taroon Update 7)
 Linux 2.4.21-40.ELsmp

■メールソフト
 postfix

■ログの保存
 /var/log 配下に1日置きにログができ、
 最新はmaillog、1つ前はmaillog.1、2つ前はmaillog.2、、と90日間
 ログが保存される。

※運用中のサーバなので、新しくツール等を設置したくないです。
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

0

1通のメールに対して、ログは複数行記録されます。1通だけであれば、
  1.  maillog の中から to=<メールアドレス> 行を見つける。
  2.  to= の前にあるキュー番号(下記例の 851D610008B)を控える。
  3.  キュー番号で grep すると from, to, message-id などがわかる。

(例)
# grep 851D610008B /var/log/maillog
日時 ホスト名 postfix/smtpd[PID]: 851D610008B: client=unknown[192.168.1.77]
日時 ホスト名 postfix/cleanup[PID]: 851D610008B: message-id=<メッセージID>
日時 ホスト名 postfix/qmgr[PID]: 851D610008B: from=<送信者アドレス>, size=*****, nrcpt=1 (queue active)
日時 ホスト名 postfix/lmtp[PID]: 851D610008B: to=<受信者アドレス>, relay=********, delay=0.12, delays=0.02/0.01/0.02/0.06, dsn=2.0.0, status=sent (250 2.0.0 ......)
日時 ホスト名 postfix/qmgr[PID]: 851D610008B: removed
のように調べることができます。

たとえば、社内のドメイン部が example.com だとして、それ以外のドメイン宛のキュー番号を
探すのであれば、
# cat /var/log/maillog | grep 'to=<' | grep -v 'to=<.*@example.com>' | awk '{print $6}'
でわかります。あとは、キュー番号を一つ一つ調べていくのですが、結構、大変だと思います。

なので、ログ解析ツールなどで整形したり集計したりした方がいいと思います。
例えば、AWStatsなど。
集計は必要なく、整形だけでよければ、これに含まれる maillogconvert.pl という perl スクリプトを使えば、送信者アドレス、受信者アドレスが 1行に出力されるので、わかりやすいと思います。
注意点として、送信者 X から複数の受信者 A, B, C に送った場合、maillogconvert.pl の出力は (X→A), (X→B), (X→C) の 3行になります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/04/01 10:03

    ありがとうございます。
    ログ解析ツールで試してみたいと思います。
    現在、運用中のサーバになるので、なるべくサーバに設置したくないです。
    AWStatsはサーバ設置側(インストールが必要)かと思うのですが、ダウンロードした
    ログに対して実行できるツールはご存知ないでしょうか。

    キャンセル

  • 2015/04/01 10:37

    perl が動く環境であれば maillogconvert.pl は実行できると思います。AWStats のソースを展開してスクリプト(awstats-7.3/tools/maillogconvert.pl)を抜き出して、"perl maillogconvert.pl standard < maillog" と。

    キャンセル

  • 2015/04/01 12:04

    ありがとうございます。
    ローカルでthe Perl IDEをダウンロードして、実行してみたいと思います。

    キャンセル

  • 2015/04/01 15:25

    度々すいません。
    perl maillogconvert.pl standard < maillog で実行したのですが、下記のうまくいきません。
    ご教授頂けませんでしょうか
    ・ログの保存方法について
     the Perl IDEをダウンロード後、「プログラムとファイル検索」に「perl」と打って
     コマンド上で、perl maillogconvert.pl standard < maillog を売ったのですが、
     コマンドプロンプト上にログがでます。
     ログをtestやエクセル上に自動的に保存するにはどうしたらいいのでしょうか。
    ・行数にについて
     上記に実行したら、300行しかコマンドプロンプトに表示されていないようです。
     行数を変更するには perl maillogconvert.pl のどの箇所を変更すれば、いいので
     しょうか。
     ※perlに知識がないため、教えて頂けると幸いです。

    キャンセル

  • 2015/04/01 17:10

    perl maillogconvert.pl standard < maillog > result.txt

    のようにすれば良いかと。

    キャンセル

  • 2015/04/09 13:45

    おそくなりまた。
    ありがとうございます。
    記載頂いた通りに実行できました。

    キャンセル

0

はじめまして。

メールサーバーに使っているソフトウェアによってログの出力方法など変わるかと思うので、何のソフトウェアを使っているか(例えばPostfixなど)など、公開出来うる範囲でサーバー環境に関する情報を提示された方がいいかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/03/31 20:20 編集

    ありがとうございます。情報が少なくすいません。
    以下の環境となります。
    他に必要な情報はございますでしょうか。

    ■OS環境
     Red Hat Enterprise Linux ES release 3 (Taroon Update 7)
     Linux ******.co.jp 2.4.21-40.ELsmp

    ■メールソフト
     postfix

    ■ログの保存
     /var/log 配下に1日置きにログができ、
     最新はmaillog、1つ前はmaillog.1、2つ前はmaillog.2、、と90日間
     ログが保存される。

    キャンセル

  • 2015/04/01 08:04

    ログの調べ方はTaichiYanagiyaさんが書かれていますので、あとは今後の対策を考えるべきかと思います。
    お勧めするはlogwathcを導入です。
    拒否したメール、許可したメールなどがレポート形式で出力されるため見やすく、毎日メールで送信されるようにしておくと異常にも早く気づくことができます。

    キャンセル

関連した質問

同じタグがついた質問を見る

  • CentOS

    2767questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。