|
Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » [решено] Dovecot. Кто удаляет письма? |
|
[решено] Dovecot. Кто удаляет письма?
|
ИО Капитана Очевидности Сообщения: 5382 |
Профиль | Отправить PM | Цитировать Добрый день.
В локальной сети организации есть почтовый сервер, который собирает входящую почту из нескольких почтовых ящиков на публичных серверах (яндекс, майл и т.д.) и выполняет отправку исходящей почты через эти почтовые ящики. На этом почтовом сервере зарегистрировано несколько внутренних почтовых ящиков для разных отделов. В том числе один "общий" почтовый ящик, в который выгружается вся почта, поступающая на официальный e-mail организации. Почему так? Потому что "официальный" адрес выдали только один На рабочих местах используется Thunderbird. На почтовом сервере - связка Postfix и Dovecot. До недавнего времени всё было нормально. Каждый специалист отправлял свою почту, а потом находил "в общей куче" ответы на свои письма. Секретов у специалистов друг от друга не было, и никто никому никаких проблем не создавал. Однако с недавнего времени началось творится странное. Кто-то (или что-то) начал удалять почту в массовом порядке. Благо почта при этом просто уходила в папку "Удалённые" почтового ящика, откуда её быстро возвращали обратно. Один раз - случайность. Два раза - совпадение. Три раза - троцкизьм и вредительство. Вопрос: как можно отследить, какая сволочь делает эту гадость? Что нужно прописать в конфиги Dovecot'а, чтобы он фиксировал подобные действия? "Пользователь" будет один, но по IP-адресу рабочего места будет понятно, кому давать десять лет строгого расстрела без права переписки. |
|
------- Отправлено: 09:47, 22-12-2015 |
Ветеран Сообщения: 1594
|
Профиль | Отправить PM | Цитировать Просторы интернета пишут, что давкот пишет усё, что с ним происходит "из каропки"(это если шаловливые руки чего-то не отключали или самосбор).
http://wiki.dovecot.org/Logging - думаю будет отправной точкой на поискать http://wiki.dovecot.org/Debugging/Rawlog |
------- Отправлено: 21:34, 22-12-2015 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
ИО Капитана Очевидности Сообщения: 5382
|
Профиль | Отправить PM | Цитировать Нашёл на просторах интернетов следующие настройки, которые вписал в конец /etc/dovecot/dovecot.conf
protocol imap { mail_plugins = $mail_plugins mail_log notify } protocol pop3 { mail_plugins = $mail_plugins mail_log notify } protocol lda { mail_plugins = $mail_plugins mail_log notify # %$ - Delivery status message (e.g. "saved to INBOX") # %m - Message-ID # %s - Subject # %f - From address deliver_log_format = from=%f subj=%s msgid=%m: %$ } plugin { # Events to log. Also available in v1.2+: flag_change append mail_log_events = delete undelete expunge # Group events within a transaction to one line. # Если группировка не нужна, то комментируем, пустой не оставляем #mail_log_group_events = # Available in v1.1+: uid, box, msgid, size, vsize # Available in v1.2+: from, subject, flags mail_log_fields = uid box msgid size from subject flags } Цитата:
Можно ли добавить это значение? Какие ещё пункты можно добавить в параметр mail_log_fields ? |
|
------- Отправлено: 06:38, 23-12-2015 | #3 |
Ветеран Сообщения: 1594
|
Профиль | Отправить PM | Цитировать http://wiki1.dovecot.org/Plugins/MailLog
плюс, а в /var/log/messages или /var/log/mail, /var/log/maillog ничего от давкота не пишется? |
------- Последний раз редактировалось James Marsh, 23-12-2015 в 21:33. Отправлено: 21:25, 23-12-2015 | #4 |
ИО Капитана Очевидности Сообщения: 5382
|
Профиль | Отправить PM | Цитировать Цитата James Marsh:
/var/log/messages ничего по dovecot не содержит Иных логов нет. Делать вывод по imap(user): невозможно, так как с общим ящиком все пользователи работают под одним общим логином. |
||
------- Отправлено: 01:17, 24-12-2015 | #5 |
ИО Капитана Очевидности Сообщения: 5382
|
Профиль | Отправить PM | Цитировать Нашёл дурака.
В протоколе рядом со множеством сообщений "Delete" было множество сообщений "Login" с IP-адресом дурня. |
------- Отправлено: 02:19, 29-12-2015 | #6 |
Ветеран Сообщения: 1594
|
Профиль | Отправить PM | Цитировать Та ну, а в каком файле? Можете кусок лога прилепить? Думаю, что кому-нить да понадобится.
|
------- Отправлено: 20:43, 29-12-2015 | #7 |
ИО Капитана Очевидности Сообщения: 5382
|
Профиль | Отправить PM | Цитировать Цитата James Marsh:
Настройки логирования для dovecot я написал выше. Образцы строк из лога тоже указаны выше. В общем нашёл множество сообщений типа Login, которые были перед множеством сообщений типа Delete. |
|
------- Отправлено: 01:04, 30-12-2015 | #8 |
Новый участник Сообщения: 1
|
Профиль | Отправить PM | Цитировать Дополню, если в конфиге прописать
mail_log_prefix = "%s(%u):(%r): " то в логах увидим заветный IP адрес: Nov 28 15:25:13 mail dovecot: imap(administrator@testcom):(192.168.1.99): copy from INBOX: box=Trash, uid=16200, msgid=<100a55118f338f8194fb5fa7141250d8@swift.generated>, size=13299 |
Отправлено: 15:29, 28-11-2016 | #9 |
ИО Капитана Очевидности Сообщения: 5382
|
Профиль | Отправить PM | Цитировать Цитата necoro:
Теперь в логах пишется искомое Цитата:
|
||
------- Отправлено: 02:27, 29-11-2016 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
FreeBSD - Postfix+dovecot Проблема с авторизацией | Sergey999 | Общий по FreeBSD | 3 | 30-06-2015 06:05 | |
Thunderbird не удаляет полученные письма. Ubuntu 14.04 х64 | SanCho | Программное обеспечение Linux и FreeBSD | 2 | 12-07-2014 17:39 | |
V. 2010 - [решено] Удаление письма с ящика по теме письма | dartne | Microsoft Exchange Server | 4 | 13-02-2014 11:55 | |
FreeBSD - Sendmail + dovecot | ashota | Общий по FreeBSD | 0 | 25-03-2011 10:43 | |
Не получается запустить Dovecot | WebCode | Общий по Linux | 6 | 23-05-2005 23:33 |
|