여기서 설명한 대로 각 SMTP 트랜잭션에 대해 메시지 ID, 클라이언트 IP 주소 및 인증된 발신자를 기록하고 싶습니다.
솔루션을 구현했지만 인증을 사용한 트랜잭션뿐만 아니라 모든 트랜잭션을 기록합니다. 인증이 사용된 항목만 기록하고 싶습니다.
내 목표는 로그 분석을 통해 피싱 이메일 계정을 탐지하는 것입니다.
내가 유지하고 싶은 항목은 다음과 같습니다.
Sep 23 06:31:40 mail sm-mta[20443]: r8NDVdM3020443: Authenticated-by:LOGIN,username,0,,[192.168.1.10]
건너뛰려는 항목에 메커니즘과 사용자 이름(,,,,)이 누락되었습니다.
Sep 23 06:31:44 mail sm-mta[20475]: r8NDVh3m020475: Authenticated-by:,,,,messagent.computerdealernews.com.
내가 주로 찾는 것은 한 줄에 있는 메시지 ID, 인증 사용자 이름, 보낸 사람의 IP 주소입니다. 올바른 IP 주소가 없는 것 같습니다.
이에 대한 참고 정보를 알려주시면 도움이 될 것입니다.
작업 구성
이 구성은 내가 원하는 것을 인쇄합니다.
Scheck_data
R$* $: <$&{auth_authen}> $1
R<$+> $* $: <$1> $2 $(log Authenticated-by: $&{auth_type}, $&{auth_authen}, $&{client_addr}, $&{f} $)
R<$*> $* $: $2
나는 client_addr과 다른 매크로를 찾았습니다.IBM 센드메일 사이트.
감사해요.
답변1
아래 코드는 ${auth_authen}이 비어 있지 않은 경우에만 로그 항목을 생성해야 합니다.
경고:$ 앞에 탭(\t)을 넣으세요: [할 수 없습니다.]
LOCAL_RULESETS
Scheck_data
R$* $: <$&{auth_authen}> $1
R<$+> $* $: <$1> $2 $(log Authenticated-by: $&{auth_type}, $&{auth_authen}, $&{auth_ssf}, $&{auth_author}, $&{mail_mailer}, $&{mail_host}, $&{mail_addr} $)
R<$*> $* $: $2