qmail und logs

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
bibe
Posts: 4
Joined: 2006-04-16 13:58

qmail und logs

Post by bibe » 2006-12-14 22:54

Hallo,
ich verwende qmail als MTA. Anhand der logs in /var/logs/qmail/qmail-send muss ich leider feststellen, dass täglich einige Mails an dubiose Adressen versendet werden. Es sind etwa 30-50 Stück täglich und die logs dazu sehen etwa so aus:

Code: Select all

2006-12-14 22:40:53.049071500 new msg 9454958
2006-12-14 22:40:53.049104500 info msg 9454958: bytes 3747 from <> qp 18116 uid 1008
2006-12-14 22:40:53.051990500 starting delivery 243986: msg 9454958 to remote mail@strangeaddress.net
2006-12-14 22:40:53.052027500 status: local 0/10 remote 1/255
Die uid's lassen auf die User vpopmail und qmails schließen (also kein Apache mit Webformularen oder so). vpopmail ist wie folgt konfiguriert:

Code: Select all

./configure --enable-logging=p --enable-auth-module=mysql --disable-passwd --enable-clear-passwd --disable-many-domains --enable-auth-logging --enable-sql-logging --enable-valias --disable-mysql-limits
Habe ich irgendeine Möglichkeit, in den qmail-logs zu sehen, wer (also über welches Konto) wann Mails verschickt hat?

Ich sehe bisher nur die Möglichkeit, im vopopmail --enable-logging=v zu setzen (dann aber in ein textfile *g*) und per Skript die Zeiten der Authentifizierung beim vpopmail mit den Zeiten des Mailversandts vom qmail zu vergleichen und so Annahmen anzustellen, wer entsprechende Mails versendet hat. Das ist aber natürlich aufwendig und ungenau.

Hat irgendjemand eine Idee, wie ich das geschickter machen könnte? Ich bin relativ ratlos und freue mich über absolut jeden Hinweis! Danke!

Viele Grüße
BiBe

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: qmail und logs

Post by kenzo » 2006-12-16 12:06

Code: Select all

2006-12-14 22:40:53.049071500 new msg 9454958
2006-12-14 22:40:53.049104500 info msg 9454958: bytes 3747 from <> qp 18116 uid 1008
2006-12-14 22:40:53.051990500 starting delivery 243986: msg 9454958 to remote mail@strangeaddress.net
2006-12-14 22:40:53.052027500 status: local 0/10 remote 1/255 
Das ist ein Bounce - steht kurz davor möglicherweise der Versuch, an eine nichtexistente Adresse bei dir mit dem Absender "mail@strangeaddress..." zu senden?

bibe
Posts: 4
Joined: 2006-04-16 13:58

Re: qmail und logs

Post by bibe » 2006-12-17 11:43

Hi,
ach wenn das ein Bounce ist (also eine Fehlermeldung an den Absender, der kurz zuvor versucht hat, eine unzustellbare Mail an meinen Mailserver zu senden?) würde das natürlich einiges erklären. Die 50 Mails dieser Art pro Tag könnten ja z.B. Bounce-Antworten auf Spam sein, der an Postfächer gerichtet ist, die es auf meinem Server nicht gibt. Oder sehe ich das falsch?

Nun die alles entscheidende Frage: Wie unterscheide ich in den Logs Bounce-Mails von nicht-Bounce-Mails und wie erkenne ich den Zusammenhang zwischen einer eingehenden Nachrichten und der Bounce-Antwort darauf?

Und noch etwas: Wäre es sinnvoll, Bounce-Meldungen abzuschalten?

Vielen Dank für die Antwort!!!

Viele Grüße
BiBe

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: qmail und logs

Post by kenzo » 2006-12-18 11:31

Die 50 Mails dieser Art pro Tag könnten ja z.B. Bounce-Antworten auf Spam sein, der an Postfächer gerichtet ist, die es auf meinem Server nicht gibt. Oder sehe ich das falsch?
Siehst du richtig, solltest du aber in den Logs auch nachvollziehen können - vor diesem Bounce sollte halt ein fehlgeschlagener Zustellversuch auftauchen. Btw.: Ist 1008 bei dir qmails?
Und noch etwas: Wäre es sinnvoll, Bounce-Meldungen abzuschalten?
Nein. Du müßtest vorher ansetzen und nicht-existente User im SMTP-Dialog abweisen - Stichwort z.B. chkusr.

bibe
Posts: 4
Joined: 2006-04-16 13:58

Re: qmail und logs

Post by bibe » 2006-12-18 22:44

Hi,
vielen Dank für die Antwort. Ich beginne langsam mit deiner Hilfe meine Logs zu verstehen! :)

Hier noch ein ausführlicherer Ausschnitt:

Code: Select all

@400000004586fe1a2e9f0924 new msg 9455170
@400000004586fe1a2e9f2094 info msg 9455170: bytes 19572 from <mail@example.com> qp 28965 uid 1009
@400000004586fe1a2ed8745c starting delivery 252500: msg 9455170 to local mail@local-domain.de
@400000004586fe1a2ed88bcc status: local 1/10 remote 1/255
@400000004586fe1a2f50e464 delivery 252500: failure: Sorry,_no_mailbox_here_by_that_name._vpopmail_(#5.1.1)/
@400000004586fe1a2f50ffbc status: local 0/10 remote 1/255
@400000004586fe1a2fee5514 bounce msg 9455170 qp 28969
@400000004586fe1a2fee689c end msg 9455170

@400000004586fe1a2ff07024 new msg 9455204
@400000004586fe1a2ff10494 info msg 9455204: bytes 20128 from <> qp 28969 uid 1008
@400000004586fe1a3024de04 starting delivery 252501: msg 9455204 to remote mail@example.com
@400000004586fe1a30257274 status: local 0/10 remote 2/255
@400000004586fe1d1192b5ec delivery 252501: success: 65.115.xxx.xxx_accepted_message./Remote_host_said:_250_2.6.0_<EXCH1YFRcmVFOh1vdkm00024d34@example.com>_Queued_mail_for_delivery/
@400000004586fe1d1192d144 status: local 0/10 remote 1/255
@400000004586fe1d1192e4cc end msg 9455204
Hier reagiert mein Mailserver also auf eine Mail, die an ein Postfach gesendet wurde, das er nicht kennt, mit einer Bounce-Meldung.

Habe ich eine Möglichkeit, die Bounce-Sendungen den eigentlichen Nachrichten, durch die sie ausgelöst wurden, zuzuordnen? Wenn ich das richtig übersehe, bekommen sie eine neue msg-ID und praktisch muss sie ja nicht unmittelbar dem Logeintrag der fehlgeschlagenen Aussendung folgen, oder doch?

Hinter der UID 1008 verbirgt sich qmails - genau. 1009 ist vpopmail.

Gerade fällt mir auf, dass qmail ja freundlicherweise in den Logzeilen des fehlgeschlagenen Transfers die Prozess-ID nennt, mittels der die Bounce-Message zugeordnet werden kann. Hier: "bounce msg 9455170 qp 28969". Die müsste doch eindeutig sein, oder? Mein Ziel ist es, die Logdateien zu parsen und eine anschauliche Übersicht zu generieren.

Der chkusr-Patch hört sich interessant an. Vielen Dank für den Hinweis!

Vielen Dank, viele Grüße
BiBe

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: qmail und logs

Post by kenzo » 2006-12-20 08:53

Gerade fällt mir auf, dass qmail ja freundlicherweise in den Logzeilen des fehlgeschlagenen Transfers die Prozess-ID nennt, mittels der die Bounce-Message zugeordnet werden kann. Hier: "bounce msg 9455170 qp 28969". Die müsste doch eindeutig sein, oder?
Jau, ist sie - anhand dieser Daten kannst du parsen und Übersichten generieren. Sinnvoll ist der chkusr-Patch aber auf jeden Fall (schau dir an, ob du alle Features aus 2.0 haben willst, wenn dir die Grundfunktionalität reicht, nimm die 1.0er).