.png)
Недавно один из моих ящиков начал отправлять большой объем почты, что в свою очередь резко увеличило процент нагрузки на моем ящике Linux. У меня есть SPLUNK, привязанный к моему ящику, который ловит все, что ящик читает/записывает. Вот один из примеров журнала, извлеченного из /var/log/maillog. Этот тип журнала постоянен. В секунду отправляется 5-10 сообщений с разными msgid. Проблема, с которой я столкнулся, заключается в размаскировании from=<>. Обычно from имеет вид [email protected]или [email protected].
2 ноября 11:31:50 mx5 sm-mta[30933]: uA2GVonP030933: from=<>, size=10022, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=sendmail.domain.com [мой внутренний IP] хост = mx5 источник = /var/log/maillog тип источника = sendmail_syslog
mx5: сервер маршрутизации почтыmsgid@aubry.domain.com — исходный серверrelay: sendmail.domain.com
Я замаскировал свои коробки, чтобы сохранить их конфиденциальность.
Есть ли способ демаскировки from=<>с помощью идентификатора сообщения на исходном сервере или с помощью uA2GVonP030933примера mailQueueID из журнала выше?
решение1
Пустое fromполе означает, что в конверте не указан отправитель. Это часто используется для некоторых видов возвратов, когда нет «реального» отправителя, но это может быть и какое-то другое приложение.
Если сервер, на котором вы находитесь, не зарегистрировал никакой дополнительной информации о доставке (или сохраняет письма в своей очереди, обязательно проверьте свои локальные очереди доставки), все, что вы можете сделать, это попытаться найти какую-то информацию на отправляющем сервере.