Cách phân tích file Log trên MDaemon¶
Đối với Mail server MDaemon log file được ghi nhận với 2 thành phần (file) riêng biệt : SMTP-IN và SMTP-OUT.+ SMTP IN : (Mail được Server nhận vào)
Log được lưu trong file MDaemon-yyyymmdd-smtp-(in).log, ghi nhận 2 quá trình:
- Mail từ domain nội bộ gửi ra ngoài.
- Mail từ hệ thống khác gửi đến.
Mời các bạn tham khảo 2 đoạn log sau trên server có server name là : mb2d106.vdrs.net :
:1. Mail từ domain nội bộ gửi ra ngoài:
Trước khi email của bạn được gửi ra bên ngoài (tức gửi đến server của người nhận) sẽ được gửi từ Client ==> Server thông qua Webmail hoặc chương trình Mail Client (Outlook, Outlook Express, Thunderbird...).
 |
Chúng ta cùng nhận xét các điểm được đánh dấu ở trên và đưa ra nhận xét :
>> Log A ghi nhận quá trình gửi mail từ địa chỉ senmail@ytuongthietke.com đến địa chỉ loctd@matbao.com.
>> Email được gửi trên Webmail (Dựa vào dòng lệnh EHLO WorldClient), các bạn có thể nhận dạng được quá trình gửi mail từ Client ==> Server qua dòng thông báo “235 Authentication successful”.
>> Thông báo “SMTP session successful” : hệ thống xác nhận giao dịch mail này đã thành công.
:2. Mail từ hệ thống khác gửi đến :
 |
>> Log B ghi nhận quá trình nhận mail của địa chỉ senmail@ytuongthietke.com, và được gửi đến từ địa chỉ loctd@matbao.com.
>> Email được gửi từ hệ thống smb163d57.static.dc.vdrs.net (Dựa vào dòng lệnh EHLO smb163d57.static.dc.vdrs.net), các bạn có thể nhận dạng được quá trình gửi mail từServer (smb163d57) ==> Server (mb2d106) qua dòng thông báo “MAIL From:< loctd@matbao.com >”.
Kết luận : Log mail được gửi từ hệ thống khác đến phân biệt với quá trình mail từ domain nội bộ gửi ra ngoài tại 2 điểm :
- Giá trị MAIL FROM ở đây là địa chỉ email trên hệ thống khác .
- KHÔNG có dòng thông báo “Authentication …”
+ SMTP OUT : (Mail được Server gửi ra)
Log được lưu trong file MDaemon-yyyymmdd-smtp-(out).log, chúng ta có thể nhận thấy như sau:
 |
>> Quá trình gửi mail từ Server đến địa chỉ đích sẽ thực hiện bước truy vấn record MX của domain mà Email nhận sử dụng:
Tue 2011-11-08 23:48:26: Resolving MX records for matbao.com (DNS Server: 8.8.8.8)...
Tue 2011-11-08 23:48:26: * P=010 S=000 D=matbao.com TTL=(23) MX=mail.matbao.com
>> Lúc này địa chỉ FROM không thực hiện bước chức thực “Authentication …” đồng thời các bạn có thể phân biệt với Log SMTP IN bởi dòng thông báo:
250-smb163d57.static.dc.vdrs.net Hello ytuongthietke.com 112.78.2.106, pleased to meet you.
Lưu ý: Chúng ta nên xem kỹ nội dung Log về quá trình gửi mail từ domain nội bộ ra bên ngoài giữa SMTP IN và SMTP OUT sẽ thấy quá trình này trải qua 2 bước: Client ==> Server, Server nguồn ==> Server đích.
Cách phân tích file Log trên Icewarp Merak¶
Khác với Mail server MDaemon, file log ghi nội dung SMTP IN/OUT của Merak/IceWarp được lưu vào 1 file với tên s(yyyymmdd).log.Các session trong quá trình gửi/nhận mail sẽ ghi theo thời gian gửi/nhận mail trên toàn hệ thống không được ghi theo trình tự như MDaemon.
Vì vậy khi phân tích các bạn nên căn cứ vào ID Session và IP kết nối.
1. Tương tự như các hệ thống Mail Server khác thì quá trình hoạt động gửi mail từ domain nội bộ ra bên ngoài của Merak/IceWarp cũng trải qua 2 bước:
+ Client ==> Server :
 |
>> Dòng lệnh EHLO DucLocPC (gửi bằng chương trình Mail Outlook) ghi nhận quá trình kết nối giữa máy tính gửi mail và Server, ngoài ra các bạn sẽ thấy có thông báo chứng thực Authentication successful.
>> Quá trình gửi mail thành công nhận được thông báo OK và accepted for delivery.
+ Server gửi ==> Server nhận :
Đầu tiên Server gửi sẽ phân giải record MX của domain mà Email đích sử dụng sau đó sẽ kết nối đến Server nhận mail.
 |
>> Trong bước này ta có thể nhận biết bởi dòng Client session và lúc này Server nhận sẽ trả lời:
74.125.127.27 {273C} 13:49:39 Client session <<< 220 mx.google.com ESMTP d4si5243507pbq.141
>> Quá trình gửi mail thành công sẽ xuất hiện thông báo:
74.125.127.27 {273C} 13:49:42 Client session ***
:2. Nhận mail từ bên ngoài gửi vào:
Mail từ bên ngoài gửi vào trước tiên sẽ kết nối đến Server và lúc này sẽ xuất hiện câu chào từ Server gửi:
209.85.210.45 {118C} 15:20:14 <<< EHLO mail-pz0-f45.google.com
Địa chỉ hiển thị ở dòng MAIL FROM sẽ là Email bên ngoài hệ thống và dĩ nhiên sẽ không có dòng thông báo Authentication ...
 |
Khác với quá trình gửi mail ra bên ngoài sẽ không có dòng Client session và kết thúc việc gửi mail thành công cũng xuất hiện thông báo accepted for delivery.
0 comments:
Post a Comment