我想logging每个SMTP事务的消息ID,客户端IP地址和身份validation的发件人,几乎在这里讨论:
在sendmail中loggingauth信息
我已经实现了解决scheme,但是,它logging了所有事务,而不仅仅是使用身份validation的事务。 我宁愿仅logging使用身份validation的条目。
我的目标是能够通过日志分析来检测钓鱼邮件帐户。
我想保留的参赛作品如下所示:
Sep 23 06:31:40 mail sm-mta[20443]: r8NDVdM3020443: Authenticated-by:LOGIN,username,0,,[192.168.1.10] 我想跳过的条目缺less机制和用户名(,,,,):
Sep 23 06:31:44 mail sm-mta[20475]: r8NDVh3m020475: Authenticated-by:,,,,messagent.computerdealernews.com.
我主要查找的是一条消息ID,auth用户名和发送者的IP地址。 它似乎没有正确的IP地址。
如果你能指出我的任何参考资料,这将有所帮助。
这个configuration打印出我想要的。
Scheck_data R$* $: <$&{auth_authen}> $1 R<$+> $* $: <$1> $2 $(log Authenticated-by: $&{auth_type}, $&{auth_authen}, $&{client_addr}, $&{f} $) R<$*> $* $: $2
我在IBM sendmail站点上find了client_addr和其他macros。
谢谢。
只有当$ {auth_authen}不为空时,下面的代码才应该生成日志条目。
警告:在$之前放置标签(\ t):[我不能这样做]
LOCAL_RULESETS Scheck_data R$* $: <$&{auth_authen}> $1 R<$+> $* $: <$1> $2 $(log Authenticated-by: $&{auth_type}, $&{auth_authen}, $&{auth_ssf}, $&{auth_author}, $&{mail_mailer}, $&{mail_host}, $&{mail_addr} $) R<$*> $* $: $2