第13章 日誌查詢¶
所有跟郵件伺服器有關的紀錄都可在此查詢,管理者可以藉由這個功能,追蹤郵件的進出狀況、使用量等等,進一步掌握郵件伺服器運作的情況。目前提供查詢的有:郵件日誌、隔離日誌、使用紀錄、封鎖日誌、SMTP 認證失敗日誌。
13-1、郵件日誌¶
郵件日誌主要提供管理者查詢進、出郵件,無論是所有經過郵件歸檔伺服器的郵件處置情況,或要找尋使用者的郵件問題都可以利用郵件日誌找到原因。• 郵件日誌搜尋條件預設顯示基本搜尋條件:
Fig. 186 基本搜尋條件¶
【查詢時間來源】:· 日期:歸檔伺服器完成解析此信件的日期· 收件日期:歸檔伺服器收到此信件的日期· 內文日期:信件原始檔上表示的日期【開始時間】:填入要查詢的開始日期、時間。【結束時間】:填入要查詢的結束日期、時間。【寄件者】:若查詢目標為郵件的寄件者,則在此輸入其郵件帳號。支援萬用字元「? *」。勾選 反向搜尋 表示除了此寄件者以外的寄件者皆符合條件。【收件者】:若查詢目標為郵件的收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。勾選 反向搜尋 表示除了此收件者以外的收件者皆符合條件。【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。勾選 反向搜尋 表示除了此主旨條件以外的主旨皆符合條件。【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。勾選 反向搜尋 表示除了此來源 IP 以外的來源 IP 皆符合條件。當基本搜尋條件無法滿足管理者的查詢需求時,點選進入進階搜尋:
Fig. 187 郵件日誌進階搜尋¶
【查詢時間來源】:· 解析完成日期:歸檔伺服器完成解析此信件的日期· 收件日期:歸檔伺服器收到此信件的日期· 內文日期:信件原始檔上表示的日期【開始時間】:填入要查詢的開始日期、時間。【結束時間】:填入要查詢的結束日期、時間。【通聯寄/收件者】:若查詢目標為郵件的通聯寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。勾選 反向搜尋 表示除了此寄/收件者以外的寄/收件者皆符合條件。【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。勾選 反向搜尋 表示除了此主旨條件以外的主旨皆符合條件。【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。勾選 反向搜尋 表示除了此來源 IP 以外的來源 IP 皆符合條件。【目的 IP】:以收件者的 IP 位址為條件搜尋。勾選 反向搜尋 表示除了此目的 IP 以外的目的 IP 皆符合條件。【內文寄/收件者】:若查詢目標為郵件的內文寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。勾選 反向搜尋 表示除了此寄/收件者以外的寄/收件者皆符合條件。【大小 (KB)】:以郵件的容量大小範圍為搜尋條件,以 KB 為單位。【附件名稱】:查詢特定附件檔案名稱。【垃圾郵件分數】:以垃圾郵件過濾機制評分的判斷分數範圍為搜尋條件。【垃圾郵件處理方式】:經過垃圾郵件過濾機制後,系統的處置方式為何,可選擇全部、正常信件、隔離、刪除、垃圾信主旨或沒有掃描。【過濾器】:查詢郵件是否有被設定的過濾器觸發過,更可篩選觸發後的處置行為是隔離、刪除或是全部顯示。【病毒】:以郵件是否含有病毒、被隔離、無法掃描或是沒有掃描過 為搜尋條件。【Sandstorm】:以郵件是否含有 Sandstorm、被隔離或是沒有掃描過 為搜尋條件。【郵件方向】:在閘道器模式下,查詢的郵件方向為全部、內對內、內對外、外對內或是其他。【遞送狀態】:以郵件的遞送狀態為條件進行搜尋,可選擇查詢成功、拒絕、接受、失敗、其他或全部狀態。【郵件類型】:以郵件的類型為搜尋條件,例如:透通模式、閘道模式、代收模式或同步郵件等。【附件副檔名】:以郵件中夾帶附件檔案的副檔名為搜尋條件,例如:pdf、dat 等。可輸入多筆,輸入後按下 Enter 即可再輸入下一筆,會以「OR」方式進行搜尋。【Message-ID】:以郵件 ID 為搜尋條件,支援萬用字元「? *」。【郵件標籤】:查詢郵件是否有被系統加入標籤,藉由標籤的選擇,更容易找到特定的郵件。• 郵件日誌列表所有進出郵件歸檔伺服器的郵件都會在這裡顯示,除了時間、寄件者帳號及主旨等基本資訊外,郵件經過系統的垃圾郵件、病毒掃描引擎及過濾器的處置動作,都可以在列表中查看。
Fig. 188 郵件日誌¶
【遞送狀態】:郵件經過系統後的狀態。
成功:代表郵件從內部成功寄給外部的收件者。拒絕:外部要進來的郵件,被系統拒絕。接受:代表郵件從外部接收完成,但正在進行垃圾郵件、病毒及稽核過濾器等判斷,尚未進入收件者郵箱中。失敗:因為某些原因造成信件傳送沒有完成。【掃描結果】:此郵件掃描結果為何。
:病毒
:病毒(無法掃描)
:Sandstorm
:EDM-電子報
:垃圾郵件
【分數】:郵件經過垃圾郵件引擎判斷後的分數。【類型】:此郵件是經由哪一種模式收下來。【郵件方向】:列表郵件進出系統的方向,
:外對內/
:內對外/
:內對內。
【處理】:是否對於此封郵件執行隔離、刪除等處理。【歸檔】:此郵件是否有被歸檔。
代表被歸檔,日後使用者可以查詢此封郵件。
代表此封郵件沒被歸檔。
代表重複的郵件,系統只會歸檔其中一封。
【詳細】:此郵件的詳細內容,點選圖示可查看此封郵件的詳細資料,如郵件摘要、郵件標頭、主機收件通訊過程等等。
Fig. 189 郵件的詳細資料¶
點選【主機收件通訊過程】,將展開詳細資訊列出雙方 SMTP 通聯過程。
Fig. 190 SMTP 通聯資料¶
13-2、隔離日誌¶
所有被郵件歸檔伺服器隔離的郵件都會列表於此,管理者可以進行搜尋及查看郵件被隔離的原因。
Fig. 191 基本搜尋條件¶
【開始時間】:填入要查詢的開始日期、時間。【結束時間】:填入要查詢的結束日期、時間。【寄/收件者】:若查詢目標為郵件的寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。預設顯示基本搜尋條件,當基本搜尋條件無法滿足管理者的查詢需求時,可點選
Fig. 192 進階搜尋條件¶
除了基本搜尋條件以外,進階搜尋新增條件:【郵件大小】:此郵件的容量大小範圍。【過濾器名稱】:以過濾器名稱搜尋。【過濾器】:是否有被設定的過濾器觸發過。【病毒】:以郵件是否含有病毒、被隔離、無法掃描或是沒有掃描過 為搜尋條件。【隔離類型】:以郵件觸發的隔離機制為搜尋條件,可選擇全部 或是其中一種:病毒/過濾器/個人黑白名單/系統黑白名單/垃圾郵件/異常寄送/Sandstorm/EDM-電子報。
Fig. 193 隔離郵件列表¶
【來源 IP】:寄件者的來源 IP 位址。【寄件者】:寄件者的郵件帳號。【收件者】:此封郵件的收件者。【郵件主旨】:郵件的主旨。【大小】:此郵件的容量大小。【隔離類型】:病毒/過濾器/個人黑白名單/系統黑白名單/垃圾郵件/異常寄送/Sandstorm/EDM-電子報,郵件觸發的隔離機制為何。【
13-3、使用紀錄¶
管理者登入郵件歸檔伺服器後的所有操作都會被詳細的記錄下來,也包含系統自動到網路上更新病毒碼。可依條件搜尋,除了時間範圍、操作的管理者等基本條件外,也可針對系統功能目錄下的各個項目搜尋,預設全選。例如:只搜尋「認證與權限管理」中「網域管理」及「使用者管理」的操作紀錄。
Fig. 194 使用紀錄搜尋¶
列表顯示管理者或系統執行的動作與事件:
Fig. 195 管理者使用紀錄列表¶
【時間】:此事件發生的時間。【使用者】:哪個管理者執行動作,系統執行會標示為 SYSTEM。例如:病毒碼自動更新由系統執行。【登入 IP】:管理者登入系統的 IP,SYSTEM 不會顯示 IP 位址。【功能】:執行的項目及路徑。【事件】:執行的動作。例如:登入、ClamAV 自動更新。【狀態】:這項操作的狀態為正常或錯誤。【
Fig. 196 管理者詳細使用紀錄¶
13-4、封鎖日誌¶
在封鎖日誌查詢所有被封鎖的紀錄,並且可在此操作解除封鎖或清除封鎖次數。
Fig. 197 基本搜尋條件¶
【開始時間】:填入要查詢的開始日期、時間。【結束時間】:填入要查詢的結束日期、時間。【封鎖類型】:選擇要搜尋的封鎖類型為 SMTP 認證漏洞/過濾器/異常寄送偵測/SMTP 認證異常情形/SMTP 流量異常偵測 或全部。【來源 IP】:以寄件者的來源 IP 位址為搜尋條件,支援萬用字元「? *」。【狀態】:查詢被封鎖 IP 目前的狀態為何,可選擇全部或 封鎖/解除封鎖/永久封鎖/暫時封鎖/留意。預設顯示基本搜尋條件,當基本搜尋條件無法滿足管理者的查詢需求時,可點選
Fig. 198 封鎖日誌進階搜尋¶
除了基本搜尋條件以外,進階搜尋新增條件:【寄件者】:查詢被封鎖的寄件者。【認證帳號】:查詢被封鎖的 SMTP 認證帳號。【封鎖次數】:以封鎖次數為搜尋條件。
13-5、SMTP 認證失敗日誌¶
在「郵件稽核及防護 > 郵件防火牆 > 8-3-2、信任 IP 清單」中設定的 IP 即使認證失敗也不會被記錄。
Fig. 199 基本搜尋條件¶