投稿2015/03/31 09:59
編集2015/04/01 01:07メールサーバのログ解析方法について教えて下さい。
会社で運用しているメールサーバがあるのですが、情報漏えいかと思われる事象が
発生しました。
メールサーバのログの中から、外部に送った(社内宛、関係者外に送った)アカウントを特定したいと思っているのですが、いい方法が見つかりません。
メールサーバから外部に送ったアドレスを特定するにはどうしたらいいでしょうか。
【現在わかっている情報は下記となります】
・運用しているメールサーバの中で利用しているアカウント
・メールのログ保存期間は90日
【環境】
■OS環境
Red Hat Enterprise Linux ES release 3 (Taroon Update 7)
Linux 2.4.21-40.ELsmp
■メールソフト
postfix
■ログの保存
/var/log 配下に1日置きにログができ、
最新はmaillog、1つ前はmaillog.1、2つ前はmaillog.2、、と90日間
ログが保存される。
※運用中のサーバなので、新しくツール等を設置したくないです。
回答2件
0
ベストアンサー
1通のメールに対して、ログは複数行記録されます。1通だけであれば、
0. maillog の中から to=<メールアドレス> 行を見つける。
0. to= の前にあるキュー番号(下記例の 851D610008B)を控える。
0. キュー番号で grep すると from, to, message-id などがわかる。
lang
1(例) 2# grep 851D610008B /var/log/maillog 3日時 ホスト名 postfix/smtpd[PID]: 851D610008B: client=unknown[192.168.1.77] 4日時 ホスト名 postfix/cleanup[PID]: 851D610008B: message-id=<メッセージID> 5日時 ホスト名 postfix/qmgr[PID]: 851D610008B: from=<送信者アドレス>, size=*****, nrcpt=1 (queue active) 6日時 ホスト名 postfix/lmtp[PID]: 851D610008B: to=<受信者アドレス>, relay=********, delay=0.12, delays=0.02/0.01/0.02/0.06, dsn=2.0.0, status=sent (250 2.0.0 ......) 7日時 ホスト名 postfix/qmgr[PID]: 851D610008B: removed
のように調べることができます。
たとえば、社内のドメイン部が example.com だとして、それ以外のドメイン宛のキュー番号を
探すのであれば、
lang
1# cat /var/log/maillog | grep 'to=<' | grep -v 'to=<.*@example.com>' | awk '{print $6}'
でわかります。あとは、キュー番号を一つ一つ調べていくのですが、結構、大変だと思います。
なので、ログ解析ツールなどで整形したり集計したりした方がいいと思います。
例えば、AWStatsなど。
集計は必要なく、整形だけでよければ、これに含まれる maillogconvert.pl という perl スクリプトを使えば、送信者アドレス、受信者アドレスが 1行に出力されるので、わかりやすいと思います。
注意点として、送信者 X から複数の受信者 A, B, C に送った場合、maillogconvert.pl の出力は (X→A), (X→B), (X→C) の 3行になります。
投稿2015/03/31 16:55
総合スコア12146
0
はじめまして。
メールサーバーに使っているソフトウェアによってログの出力方法など変わるかと思うので、何のソフトウェアを使っているか(例えばPostfixなど)など、公開出来うる範囲でサーバー環境に関する情報を提示された方がいいかと思います。
投稿2015/03/31 10:07
総合スコア141
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/04/01 01:03
2015/04/01 01:37
2015/04/01 03:04
2015/04/01 06:25
2015/04/01 08:10
2015/04/09 04:45