Phương cách phân tích Log mail ( MDaemon & Icewarp Merak )

Phương cách phân tích Log mail ( MDaemon & Icewarp Merak )

Bài viết này sẽ hệ thống thực hiện giao dịch mail và ghi nhận lại thông qua Log Mail. Hỗ trợ các bạn trong quá trình phân tích hoạt động mail dễ dàng, chính xác, cụ thể hơn.

Cách phân tích file Log trên MDaemon

Đối với Mail server MDaemon log file được ghi nhận với 2 thành phần (file) riêng biệt : SMTP-INSMTP-OUT.

+ SMTP IN: (Mail được Server nhận vào)

Log được lưu trong file MDaemon-yyyymmdd-smtp-(in).log, ghi nhận 2 quá trình:

– Mail từ domain nội bộ gửi ra ngoài.

– Mail từ hệ thống khác gửi đến.

Mời các bạn tham khảo 2 đoạn log sau trên server có server name là : mb2d106.vdrs.net :

1. Mail từ domain nội bộ gửi ra ngoài

Trước khi email của bạn được gửi ra bên ngoài (tức gửi đến server của người nhận) sẽ được gửi từ Client ==> Server thông qua Webmail hoặc chương trình Mail Client (Outlook, Outlook Express, Thunderbird…).

Image

(Nội dung file Log A đã được lọc bớt)

Chúng ta cùng nhận xét các điểm được đánh dấu ở trên và đưa ra nhận xét :

>> Log A ghi nhận quá trình gửi mail từ địa chỉ senmail@ytuongthietke.com đến địa chỉ loctd@matbao.com.

>> Email được gửi trên Webmail (Dựa vào dòng lệnh EHLO WorldClient), các bạn có thể nhận dạng được quá trình gửi mail từ Client ==> Server qua dòng thông báo “235 Authentication successful”.

>> Thông báo “SMTP session successful”: hệ thống xác nhận giao dịch mail này đã thành công.

2. Mail từ hệ thống khác gửi đến 

Image

(Nội dung file Log B đã được lọc bớt)

>> Log B ghi nhận quá trình nhận mail của địa chỉ senmail@ytuongthietke.com, và được gửi đến từ địa chỉ loctd@matbao.com.

>> Email được gửi từ hệ thống smb163d57.static.dc.vdrs.net (Dựa vào dòng lệnh EHLO smb163d57.static.dc.vdrs.net), các bạn có thể nhận dạng được quá trình gửi mail từ Server (smb163d57) ==> Server (mb2d106) qua dòng thông báo “MAIL From:< loctd@matbao.com >”.

Kết luận : Log mail được gửi từ hệ thống khác đến phân biệt với quá trình mail từ domain nội bộ gửi ra ngoài tại 2 điểm :

– Giá trị MAIL FROM ở đây là địa chỉ email trên hệ thống khác .

KHÔNG có dòng thông báo “Authentication …”

+ SMTP OUT: (Mail được Server gửi ra)

Log được lưu trong file MDaemon-yyyymmdd-smtp-(out).log, chúng ta có thể nhận thấy như sau:

Image

(Nội dung file Log đã được lọc bớt)

>> Quá trình gửi mail từ Server đến địa chỉ đích sẽ thực hiện bước truy vấn record MX của domain mà Email nhận sử dụng:

Tue 2011-11-08 23:48:26: Resolving MX records for matbao.com (DNS Server: 8.8.8.8)…

Tue 2011-11-08 23:48:26: * P=010 S=000 D=matbao.com TTL=(23) MX=mail.matbao.com

>> Lúc này địa chỉ FROM không thực hiện bước chức thực “Authentication …” đồng thời các bạn có thể phân biệt với Log SMTP IN bởi dòng thông báo:

250-smb163d57.static.dc.vdrs.net Hello ytuongthietke.com 112.78.2.106, pleased to meet you.

Lưu ý: Chúng ta nên xem kỹ nội dung Log về quá trình gửi mail từ domain nội bộ ra bên ngoài giữa SMTP INSMTP OUT sẽ thấy quá trình này trải qua 2 bước: Client ==> Server, Server nguồn ==> Server đích.

Cách phân tích file Log trên Icewarp Merak

Khác với Mail server MDaemon, file log ghi nội dung SMTP IN/OUT của Merak/IceWarp được lưu vào 1 file với tên s(yyyymmdd).log.

Các session trong quá trình gửi/nhận mail sẽ ghi theo thời gian gửi/nhận mail trên toàn hệ thống không được ghi theo trình tự như MDaemon.

Vì vậy khi phân tích các bạn nên căn cứ vào ID SessionIP kết nối.

1. Quá trình hoạt động gửi mail từ domain nội bộ ra bên ngoài của Merak/IceWarp
Tương tự như các hệ thống Mail Server khác thì quá trình hoạt động gửi mail từ domain nội bộ ra bên ngoài của Merak/IceWarp cũng trải qua 2 bước:

+ Client ==> Server

Image

>> Dòng lệnh EHLO DucLocPC (gửi bằng chương trình Mail Outlook) ghi nhận quá trình kết nối giữa máy tính gửi mail và Server, ngoài ra các bạn sẽ thấy có thông báo chứng thực Authentication successful.

>> Quá trình gửi mail thành công nhận được thông báo OKaccepted for delivery.

+ Server gửi ==> Server nhận

Đầu tiên Server gửi sẽ phân giải record MX của domain mà Email đích sử dụng sau đó sẽ kết nối đến Server nhận mail.

Image

>> Trong bước này ta có thể nhận biết bởi dòng Client session và lúc này Server nhận sẽ trả lời:

74.125.127.27 {273C} 13:49:39 Client session <<< 220 mx.google.com ESMTP d4si5243507pbq.141

>> Quá trình gửi mail thành công sẽ xuất hiện thông báo:

74.125.127.27 {273C} 13:49:42 Client session *** <sendmail@fees.vn><locsp164@gmail.com>1 3382 00:00:01 OK SRG81238

2. Nhận mail từ bên ngoài gửi vào

Mail từ bên ngoài gửi vào trước tiên sẽ kết nối đến Server và lúc này sẽ xuất hiện câu chào từ Server gửi:

209.85.210.45 {118C} 15:20:14 <<< EHLO mail-pz0-f45.google.com

Địa chỉ hiển thị ở dòng MAIL FROM sẽ là Email bên ngoài hệ thống và dĩ nhiên sẽ không có dòng thông báo Authentication …

Image

Khác với quá trình gửi mail ra bên ngoài sẽ không có dòng Client session và kết thúc việc gửi mail thành công cũng xuất hiện thông báo accepted for delivery.


WEB FAQ  >  Email FAQ  >  Hỏi đáp Email


web faq   |   hỏi đáp web   |    hoi dap web   |   website faq   |   hỏi đáp website   |   hoi dap website   |   hướng dẫn sử dụng web   |   huong dan su dung web   |   huong dan web   |   hoi dap email

Chia sẻ bài viết

Bình luận