место в рейтинге
  • 1119155
  • 688
  • 89
Нравится блог?
Подписывайтесь!

Установка isoqlog и eximstat на CentOS 6.4 x64

Почтовый сервер при работе генерирует много отладочной информации. В ней пишется обо всем, например куда ушло письмо, какой адрес получателя и т. д. Это и есть наши логи.

Так как сложно, что-то искать в километровых логах, придумали программы - анализаторы логов. Данные анализаторы наглядно показывают всю подноготную почтового сервера. Если ваш сервер начал рассылать спам или попал в черный список, вы непременно это узнаете если прочтете отчет анализатора логов.

В данной короткой записке написано как установить Isoqlog на Linux (CentOS 6.4 x64). Мы установим утилиту и кратко проанализируем лог файл почтового сервера на базе популярного MTA Exim.

А так же мы установим еще один анализатор под названием Eximstat. В отличии от Isoqlog, он выводит более детальную информацию, где можно  найти все что вам нужно. Он похож на анализатор от MTA Postfix с именем Pflogsumm. Его отчеты проливают свет на узкие места вашего почтового сервера на основе Exim.

# wget http://ftp5.gwdg.de/pub/opensuse/repositories/home:/weberho:/qmailtoaster/CentOS_CentOS-6/x86_64/isoqlog-2.2.1-1.3.x86_64.rpm

# rpm -ivh isoqlog-2.2.1-1.3.x86_64.rpm --nodeps

Создаем каталог для веб страничек:

# mkdir /var/www/html/isoqlog

Указываем наши домены:

# vi /usr/local/etc/isoqlog.domains

company.kz

Настраиваем главный конфигурационный файл, указываем где хранятся  логи Exim:

# vi /etc/isoqlog.conf

logtype = "exim"

logstore = "/var/log/exim/main.log" # лог Exim

domainsfile = "/var/lib/qmailtools/isoqlog/isoqlog.domains" # Перечисляем наши домены

outputdir = "/var/lib/qmailtools/isoqlog/htdocs"

htmldir = "/usr/share/isoqlog/htmltemp" #html dir

langfile = "/usr/share/isoqlog/lang/english" # lang file

hostname = "mail.company.kz" #Имя хоста

maxsender   = 100

maxreceiver = 100

maxtotal    = 100

maxbyte     = 100

# ln -s /var/lib/qmailtools/isoqlog/htdocs /var/www/html/isoqlog

Меняем каталог на - /var/www/html/isoqlog/htdocs

# vi /etc/httpd/conf.d/isoqlog.conf

# configuration to serve qmailmrtg

Alias /isoqlog /var/www/html/isoqlog/htdocs

<Directory /var/lib/qmailtools/isoqlog/htdocs>

AllowOverride All

Order allow,deny

Allow from all

AuthType Basic

AuthName Qmail_Toaster

AuthUserFile /etc/qmailtoaster-admin.htpasswd

require valid-user

</Directory>

Запускаем анализатор:

# /usr/bin/isoqlog -f /etc/isoqlog.conf

Теперь можно зайти через браузер:

http://ip вашего сервера/isoqlog

Скрины:

 

В отчетах можно увидеть, сколько писем было отправлено, сколько принято. Топ 17 самых активных пользователей по отправке/приему. Топ самых активных доменов.

Только вот полную картину он не дает, если спамер отправляет с вашего сервера письма с поддельными заголовками, Isoqlog их не сможет показать. Поэтому советую вам использовать EximStat, вот этот инструмент поможет более детально проанализировать лог файл.

Установка альтернативного анализатора логов eximstat:

# wget http://ftp5.gwdg.de/pub/opensuse/repositories/server:/mail/CentOS_6/i686/eximstats-html-4.80.1-40.1.i686.rpm

# yum install eximstats-html-4.80.1-40.1.i686.rpm

Чтобы сегенерировать статистику, введите команду:
# /usr/sbin/eximstats -nr /var/log/exim/main.log >> /home/eximstat.log
После чего статистика будет помещена в файл - /home/eximstat.log

У EximStat есть полезные опции, посмотрите его help - /usr/sbin/eximstat --help

Откроем файл с отчетом и смотрим:

# mcedit /home/eximstat.log

Вот скрины:

На первом скрине мы видим две даты, период который был проанализирован и за который собственно выведен отчет. У нас это 6 дней, с 10 по 16 число.

Здесь мы видим сколько писем получено, сколько отправлено, сколько отклонено и сколько писем временно не принято.

Какие транспорты были задействованы, и сколько каждый транспорт отработал писем.

 

Здесь видно что наш почтовый сервер начал рассылать спам!

От localhost ушло 77296 писем с общим размером 425 Mb и это всего за 6 дней!

В отчете топ самых 50 хостов по количеству отправленных писем стоит "local", это значить что спамер взял в обороты ваш сервер.

Надо срочно предпринимать меры.

Здесь мы уже видим отчет в котором указываются топ самых 50 компьютеров которые отправили письма по количеству трафика, данный отчет подтверждает что ваш почтовый сервер стал не здоровым.

Ох уж эти спамеры..., и кривые руки админа :D

Вот еще один интересный раздел отчета, здесь написано под каким юзером были отправлены письма, видим юзера локалхост сервера Exim.

Плюс тут показано на какие почтовые сервера слались письма с вашего сервера по количеству писем. Наш сервер без нашего ведома атаковал почтовики с адресами - @ors.com.tr, @hotmail.com, @gmail.com, @charter.net и т.д. Эх, вот так вот бывает когда админ почтового сервера забрасывает его, думая что один раз настроенный почтовик будет жить вечно.

В нашем примере на почтовом сервере взломали учетную запись "admin@company.kz". Взлом осуществлен путем перебора паролей.

Так как спамер рассылает много писем, что аж, почтовик не успевает их отправить, они остаются в очереди и ждут своего момента. Да и если спамеру не закрыть доступ, IP адрес почтового сервера попадет в черные списки, и в очереди будут торчать письма с отлупом вида - "Мы не можем принять письма с вашего сервера, так как он рассылает спам".

Админ всегда может проверить почтовую очередь введя команды:

# exim –bpc

В ответ получите количество писем в очереди. Если количество писем большое  - поздравляю, Вы спамер!

# exiqgrep -i

Выводим номера сообщений.  По номеру сообщения мы можем просмотреть заголовки и тело сообщения.

# exim -Mvh <Вводим номер сообщения>

Смотрим конверт письма, от какой учетной записи отправлено письмо с вашего сервера, это очень важный момент. Так как мы  узнаем от какой учетной записи было отправлено письмо и кому.

Обычно если взламывают учетную запись, мы ее видим тут...

# exim -Mvb <Вводим номер сообщения>

Смотрим тело сообщения, ну а здесь можно увидеть текст тела письма, обычно спамеры всякую чушь рассылают, например -  продажа Виагры, нужна ли вам работа, Вы выиграли миллион  и т.д.

Примечание: Обычно почтовое письмо состоит из двух частей, это:

1. Конверт

2. Тело сообщения

В конверте пишется от какой учетной записи отправлено письмо и кому. Эти данные используются MTA типа Postfix, Exim, Mdaemon и т.д. Почтовый сервер оперирует именно этими данными во время работы.

В теле письма содержится непосредственно само сообщение и заголовки. С этими данными работает почтовый клиент типа Outlook, Thunderbird, The Bat и т.д. Спамеры любят подделывать заголовки писем.

 

 

Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим и веселым бегемотиком :)
20 декабря 2013, 19:31
2970

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Мой дом – не гостиница. Я не останавливаюсь у своей родни, потому что знаю, что это такое

Мой дом – не гостиница. Я не останавливаюсь у своей родни, потому что знаю, что это такое

Наступил долгожданный момент и мы смогли заселиться в собственную квартиру. А потом началось... Все знакомые, родственники, даже коллеги и соседи родителей вспомнили о нашем существовании.
Idealovnet
14 окт. 2017 / 20:38
  • 8064
  • 78
Работа на EXPO. «Улыбайтесь, вы – лица Казахстана»

Работа на EXPO. «Улыбайтесь, вы – лица Казахстана»

Продление перерывов, втыки от менеджеров, борьба за стенды, кучкования, как мы друг-друга прикрывали, защищали от гостей. Все эти события доставляли радость, и каждый день на работу я приходила...
madiNAtty
14 окт. 2017 / 22:34
  • 5483
  • 22
Молчание Бозумбаева. Как «бензиновые короли» диктуют государству свои правила игры

Молчание Бозумбаева. Как «бензиновые короли» диктуют государству свои правила игры

Произошедшая в сентябре одновременная остановка двух казахстанских НПЗ из трёх и последовавший за этим топливный кризис – это для Казахстана уже не ново. История повторяется каждый год.
openqazaqstan
11 окт. 2017 / 16:32
  • 4310
  • 44
«Что дали задом?» Родительский чат в WhatsApp покорил Интернет

«Что дали задом?» Родительский чат в WhatsApp покорил Интернет

Чат дагестанских родителей в WhatsApp стал популярным в Интернете. Кто-то записал общение родителей в мессенджере и после опубликовал в Твиттере.
tala03
12 окт. 2017 / 15:10
  • 2979
  • 11
«Bank RBK» банкрот? Почему мы не можем распоряжаться собственными же деньгами?!

«Bank RBK» банкрот? Почему мы не можем распоряжаться собственными же деньгами?!

Мы не можем выдать зарплату, оплатить по счетам или как-то иначе распорядиться нашими же деньгами! У физ.лиц, насколько мне известно, ситуация не лучше - при нас люди не могли снять свои деньги с депозитов.
daniyar4422017
13 окт. 2017 / 15:46
  • 2888
  • 12
Актогайский горно-обогатительный комплекс – брат-близнец Бозшаколя

Актогайский горно-обогатительный комплекс – брат-близнец Бозшаколя

Рядом с посёлком Актогай в ВКО расположено одно из крупнейших в мире неосвоенных медных месторождений. В октябре Актогайская обогатительная фабрика вышла на проектную мощность.
theYakov
12 окт. 2017 / 10:47
  • 2991
  • 20
Я четко помню тот день, когда мне позвонили друзья и сообщили: «Она выходит замуж»

Я четко помню тот день, когда мне позвонили друзья и сообщили: «Она выходит замуж»

У нас была особенная атмосфера, мы постоянно были вместе, читали треки, летом часто поднимались в горы. Гуляли пешком по ночному городу, иногда до утра. Снимали хату и представляли совместную жизнь...
Dominator-kz
14 окт. 2017 / 22:29
Отчего в Казахстане предвзятое отношение к отечественному продукту?

Отчего в Казахстане предвзятое отношение к отечественному продукту?

Вы когда-нибудь пользовались казахстанской косметикой? Я тоже нет, поэтому сразу же откликнулась на приглашение своего фейсбук-френда протестировать отечественные крема… из Степногорска.
Shimanskaya
вчера / 11:32
  • 2122
  • 29
Когда почти все уехали в «А-города», стоит ли жить в Шымкенте?

Когда почти все уехали в «А-города», стоит ли жить в Шымкенте?

Город имеет особую ауру - очень густая энергетика, думаю, это от того, что он со всех сторон окружен "местами силы". Шымкент напоминает мне старенького доброго мудрого дедушку-аксакала.
Bonittta
13 окт. 2017 / 15:15