Wie kann festgestellt werden, welcher Benutzer eine bestimmte E-Mail mit Postfix gesendet hat?

9

Wir haben einen Postfix-Server, für den eine Authentifizierung beim SMTP-Relay erforderlich ist. Wir verwenden virtuelle Postfächer in der MySQL-Datenbank.

Eine Nachricht wurde über unser System weitergeleitet, und wir müssen bestimmen, welches unserer Benutzerkonten zum Senden verwendet wurde.

Die Nachrichtenkopfzeilen enthalten:

Received: from User (c-76-109-241-139.hsd1.fl.comcast.net [xx.109.xxx.139]) 
    by ourserver.com (Postfix) with ESMTPA id 7BA184B4AD4; 
    Tue,  3 Jul 2012 05:42:59 -0400 (EDT)

Wir haben keinen Benutzer namens "Benutzer" und die IP-Adresse ist keine, von der wir E-Mails senden würden. Ich möchte herausfinden, welches unserer Benutzerkonten der Absender beim Senden der Nachricht authentifiziert hat.

Gibt es eine Möglichkeit, dies zu verfolgen?

email postfix security Nick
quelle
Oben Userist der Hostname Ihres Mailservers angegeben. Hast du so etwas gesehen Authenticated sender:?
Quanten

Antworten:

15

Wenn Sie nach der Nachrichten-ID (in Ihrem Fall 7BA184B4AD4) /var/log/mail.logsuchen, sollten Sie eine Protokollzeile finden, die die sasl_username. Zum Beispiel:

% zgrep 07A1753F /var/log/mail.log*
Jul  4 19:47:58 mammon postfix/smtpd[4936]: 07A1753F: client=c-69-181-123-456.hsd1.ca.comcast.net[69.181.123.456], sasl_method=PLAIN, sasl_username=mgorven

Bearbeiten: Wenn Sie die smtpd_sasl_authenticated_header Option in /etc/postfix/main.cfPostfix festlegen, wird der SASL-Benutzername Receivedin E-Mails zum Header hinzugefügt . Beachten Sie, dass dieser Header manipuliert werden kann. Daher ist die obige Methode die einzig zuverlässige Methode, um festzustellen, welcher Benutzer die Nachricht gesendet hat.

smtpd_sasl_authenticated_header = yes
mgorven
quelle
1
Ich sehe dies nicht in meinen Protokollen, alle diese Einträge haben client = xxx und keine sasl-Informationen, unabhängig davon, ob sasl verwendet wird oder nicht. Ich denke, das liegt daran, dass ich Dovecot für die Sasl-Authentifizierung verwende, nicht Cyrus SASL. Ich kann Dovecot dazu bringen, seine eigenen Authentifizierungsaufzeichnungen zu protokollieren, aber diese sind schwer zuverlässig mit den Protokollnachrichten von Postfix abzugleichen.
Gogoud
WHM / cPanel Benutzer:/var/log/maillog
Rinogo