Skip to content

조회 수 7866 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄

maillog 분석

작성자 : 원만아찌

 

 

1. 구성 : 메일로그는 크게 네 부분의 필드로 구성되어 있습니다. 각각의 필드에 대해 알아보고 4번째 필드의 내용인 세부적인 지시자 에 대해 알아보겠습니다.

             1.1 첫 번째 필드: 이 로그가 발생한 날짜 및 시간입니다.

             1.2 두 번째 필드: 호스트 네임 입니다

             1.3 세 번째 필드: 데몬의 이름과 PID 입니다.

             1.4 네 번째 필드: 메시지와 관련된 필드 입니다.

                           1.4.1 이 필드에는 메시지와 관련된 내용의 로그가 기록됩니다. 로그 기록시 특별한 지시자로 구분되는데 그 지시자에 대해 알아보겠습니다.

                                        1.4.1.1 from: 발신자 주소

                                        1.4.1.2 size: 메시지의 바이트 크기

                                        1.4.1.3 class: 메시지의 등급(우선순위)으로써 낮을수록 우선순위가 높습니다

                                        1.4.1.4 pri: 시작 메시지의 우선순위 등급

                                        1.4.1.5 nrcpts: aliasing forwarding을 고려해서 생신 수신 메시지의 개수 입니다.

                                        1.4.1.6 msgid: 메시지 식별자(메시지 헤더에서 추출)

                                        1.4.1.7 proto: 수신시 사용된 프로토콜( ESMTP or UUCP)

                                        1.4.18 relay: 메시지를 전달한 머신 의 이름

                                        1.4.1.9 to: 콤마로 분리된 수신자 리스트

                                        1.4.1.10 delay: 메시지 발신에서 수신시 까지 걸린 시간

                                        1.4.1.11 xdelay: 메시지 전송 시도에 걸리는 시간(일반적으로 접속시간)

                                        1.4.1.12 mailer: 메시지를 전달하는 mailer의 이름

                                        1.4..1.13 stat: 메시지의 전달 상태

                                        1.4.1.14 ctladdr: 배달물을 보낼 수 있는 자격을 가진 사용자의 이름입니다.

                                        1.4.1.15 dsn: Delivery Status Notification의 약자로써 배달 생태 통지를 의미합니다 (상태코드는  RFC 2034문서참조)

 

 

 

 

 

2. 구성예제 1

 (메일 보내기 예제)

#]mail -s "Hello" 메일 주소

Hello

Cc:

[root@paint /]]#

 

아래의 메일 로그는 localhost에서 받는 메일 주소 에 메일을 전송했을 경우 보여지는 메시지 입니다.

(1) Jul 25 13:14:53 (2) paint (3) sendmail[13896]: (4) j6P4EruN013896: from=root, size=42, class="0," nrcpts=1,

msgid=<200507250414.j6P4EruN013896@localhost.localdomain>, relay=root@localhost

1. 7 25 13 14분경에 paint 호스트에 sendmail(프로세스 아이디 13896)데몬이 로그 기록을 남겼습니다. 보낸사용자는 root이고, 메시지의 size 42바이트, 메시지의 우선순위는 0이며, 메시지 개수는 1개이고 메시지를 전달한 머신의 이름은 root@localhost 입니다.

Jul 25 13:14:53 paint sendmail[13898]: j6P4Er0r013898: from=<root@localhost.localdomain>, size=339, class="0," nrcpts=1,

msgid=<200507250414.j6P4EruN013896@localhost.localdomain>, proto=ESMTP, daemon=MTA, relay=paint [127.0.0.1]

2. 이 과정은 메시지에 헤더를 붙이는 과정 같습니다. root@localhost.localdomain으로부터 전송된 메시지의 크기는 339바이트이고 등급은 0입니다. 총 메시지 개수는 1개이고

  전송 프로토콜은 ESMPT를 사용했습니다. 데몬은 MTA(Mail Transfer agent)이고, 메시지를 전달한 머신의 이름은 paint[127.0.0.1], 즉 로컬 호스트입니다.

Jul 25 13:14:53 paint sendmail[13896]: j6P4EruN013896: to=받는 메일 주소, ctladdr=root (0/0), delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30042,

relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (j6P4Er0r013898 Message accepted for delivery)

3. 메일을 받는 사용자는 받는 메일 주소 이고, 이 메시지를 배달하는 자격을 가진 사용자는 root 입니다. 메시지 발신에 걸린 시간은 0초이고 mailer relay입니다.

   Dsn 2.0.0은 메시지 전송의 완료를 나타내는 상태코드 입니다. 메시지의 전달 상태를 나타내는 statj6P4Er0r013898에서 메시지가 허가 되었음을 뜻합니다.

Jul 25 13:14:53 paint sendmail[13900]: j6P4Er0r013898: to=<받는 메일 주소>, ctladdr=<root@localhost.localdomain> (0/0), delay=00:00:00, xdelay=00:00:00,

mailer=esmtp, pri=30339, relay=수신을 허가한 호스트이름. [아이피], dsn=2.0.0, stat=Sent (j6P4EkU09509 Message accepted for delivery)

4. 마지막으로 mailer esmtp를 사용했고, 메시지를 승인한 수신을 허가한 호스트이름 에 성공적으로 메시지를 보냈음을 나타냅니다.

 

 

 

3. 구성예제 2

(아래의 로그는 아웃룩 익스프레스에서 메일을 받아갔을 때 생기는 로그입니다.)

Jul 25 14:51:18 paint ipop3d[14629]: pop3 service init from 아이피

Jul 25 14:51:18 paint ipop3d[14629]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

Jul 25 14:51:18 paint ipop3d[14629]: Login user=wonmanajji host=[호스트 아이피] nmsgs=1/1

Jul 25 14:51:18 paint ipop3d[14629]: Mailbox vulnerable - directory /var/spool/mail must have 1777 protection

Jul 25 14:51:18 paint ipop3d[14629]: Logout user=wonmanajji host=[호스트 아이피] nmsgs=0 ndele=1

호스트 아이피를 사용하는 곳에서 pop3 서비스에 접근하여 wonmanajji라는 사용자로 로그인 하였습니다.

총 메시지는 1개이고 읽지 않은 메시지는 1개 입니다. Mailbox vulnerable는 보안경고로써 /var/spool/mail 의 디렉토리 터미션을 1777로 변경할 것을 요구하고 있습니다.

마지막으로 wonmanajji 유지가 로그아웃했습니다.

 

이상으로 메일서버에 대한 로그파일을 간단하게 살펴보았는데, 실제로 운영되는 메일서버의 로그를 분석해봐야 숙지가 빠를 것이라는 생각이 들었습니다.

 

로그는 자주자주 봐야 눈에 들어오니 여러분이나 저나 열심히 뚜러지게 쳐다봅시다~ ^^


  1. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 10750 

    다람쥐 메일 + qmail 에러 해결 팁

  2. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8311 

    Sendmail 구동원리 및 설치 활용

  3. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8760 

    /var/spool/mail/에 저장된 메일 다른 메일로 보내기

  4. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 7866 

    간단한 메일 로그 분석

  5. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 13398 

    mail 명령어 사용법

  6. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 10075 

    메일 헤더 구성 요소

  7. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8482 

    메일 릴레이 허용 테스트 페이지

  8. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8871 

    qmail설치

  9. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8130 

    qmail 한글 홈페이지 FAQ

  10. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 9314 

    qmail vchkpw 인증 오류 대처 방안

  11. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 9013 

    courier-imap 설치(imap, pop3)

  12. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 9868 

    supervise: fatal: unable to acquire qmail-send/supervise/lock: temporary failure

  13. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 7906 

    qmail 구조도

  14. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8991 

    qmail + vpopmail 사용환경에서의 procmail 설정

  15. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8806 

    vpopmail 에서 각 바이너리 파일들의 용도

  16. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 9669 

    qmail queue 수동 삭제

  17. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8508 

    kisa rbl 설정

  18. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 10025 

    qmail 점검 사항

  19. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8327 

    qmail 설치시 궁금한점

  20. No Image 04Jun
    by ADMINPLAY
    2009/06/04 by ADMINPLAY
    Views 8025 

    squirremail "알수 없는 사용자 로그인 에러 조치 사항"

Board Pagination Prev 1 2 3 4 5 6 Next
/ 6

Copyright ADMINPLAY corp. All rights reserved.

abcXYZ, 세종대왕,1234

abcXYZ, 세종대왕,1234