.png)
最近、私のボックスの 1 つが大量のメールを送信し始め、その結果、Linux ボックスの負荷率が急上昇しました。ボックスには SPLUNK が接続されており、ボックスが読み書きするすべてのものをキャッチします。以下は、 から取得したログの 1 つのインスタンスです/var/log/maillog。このタイプのログは一定です。1 秒あたり 5 ~ 10 件のメッセージが、異なる msgid で送信されます。問題は、 のマスクを解除することです。通常、 からの は、または のfrom=<>形式です。[email protected][email protected]
11月2日 11:31:50 mx5 sm-mta[30933]: uA2GVonP030933: from=<>、size=10022、class=0、nrcpts=1、msgid=<[メールアドレス]>、proto=ESMTP、daemon=MTA、relay=sendmail.domain.com [私の内部IP] ホスト = mx5 ソース = /var/log/maillog ソースタイプ = sendmail_syslog
mx5: メールルーティングサーバーmsgid@aubry.domain.com はソースサーバーですrelay: sendmail.domain.com
秘密を守るために箱を隠しました。
from=<>ソース サーバーのメッセージ ID またはuA2GVonP030933上記のログの mailQueueID の例を使用してマスクを解除する方法はありますか?
答え1
空のfromフィールドは、エンベロープに送信者が指定されていないことを意味します。これは、実際の送信者がいない場合のある種のバウンスによく使用されますが、他のアプリケーションで使用される場合もあります。
使用しているサーバーが配信に関する詳細情報を記録していない場合 (またはメールをキューに保持している場合は、ローカルの配信キューを確認してください)、送信サーバー上で何らかの情報を探すしかありません。