.png)
Vor kurzem begann eine meiner Boxen, eine große Menge an E-Mails zu versenden, was wiederum die Auslastung meiner Linux-Box in die Höhe getrieben hat. Ich habe SPLUNK an meine Box angebunden, das alles auffängt, was die Box liest/schreibt. Hier ist ein Beispiel eines Protokolls, das von abgerufen wurde /var/log/maillog. Diese Art von Protokoll ist konstant. Pro Sekunde werden 5-10 Nachrichten mit unterschiedlichen Msgids gesendet. Das Problem, das ich habe, ist die Demaskierung der from=<>. Im Allgemeinen hat von die Form [email protected]oder [email protected].
2. Nov 11:31:50 mx5 sm-mta[30933]: uA2GVonP030933: von=<>, Größe=10022, Klasse=0, Anzahl der Einträge=1, msgid=<[email geschützt]>, Proto=ESMTP, Daemon=MTA, Relay=sendmail.domain.com [meine interne IP] Host = mx5 Quelle = /var/log/maillog Quelltyp = sendmail_syslog
mx5: Mail-Routing-Servermsgid@aubry.domain.com ist der Quellserverrelay: sendmail.domain.com
Ich habe meine Boxen maskiert, um ihre Vertraulichkeit zu wahren.
Gibt es eine Möglichkeit, die Demaskierung from=<>über die Nachrichten-ID auf dem Quellserver oder über das MailQueueID- uA2GVonP030933Beispiel aus dem obigen Protokoll vorzunehmen?
Antwort1
Ein leeres fromFeld bedeutet, dass im Umschlag kein Absender angegeben wurde. Dies wird häufig bei bestimmten Arten von Rückläufern verwendet, wenn kein „echter“ Absender angegeben wurde, es kann aber auch eine andere Anwendung sein.
Wenn der Server, auf dem Sie sich befinden, keine weiteren Informationen zur Zustellung protokolliert hat (oder die E-Mails in seiner Warteschlange behält; schauen Sie unbedingt in Ihre lokalen Zustellungswarteschlangen), können Sie nur versuchen, Informationen auf dem sendenden Server zu finden.