第13章 日誌查詢

所有跟郵件伺服器有關的紀錄都可在此查詢,管理者可以藉由這個功能,追蹤郵件的進出狀況、使用量等等,進一步掌握郵件伺服器運作的情況。
目前提供查詢的有:郵件日誌、隔離日誌、使用紀錄、封鎖日誌、SMTP 認證失敗日誌。

13-1、郵件日誌

郵件日誌主要提供管理者查詢進、出郵件,無論是所有經過郵件歸檔伺服器的郵件處置情況,
或要找尋使用者的郵件問題都可以利用郵件日誌找到原因。
• 郵件日誌搜尋條件
預設顯示基本搜尋條件:
基本搜尋條件

Fig. 186 基本搜尋條件

【查詢時間來源】:
· 日期:歸檔伺服器完成解析此信件的日期
· 收件日期:歸檔伺服器收到此信件的日期
· 內文日期:信件原始檔上表示的日期
【開始時間】:填入要查詢的開始日期、時間。
【結束時間】:填入要查詢的結束日期、時間。
【寄件者】:若查詢目標為郵件的寄件者,則在此輸入其郵件帳號。支援萬用字元「? *」。
勾選 反向搜尋 表示除了此寄件者以外的寄件者皆符合條件。
【收件者】:若查詢目標為郵件的收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。
勾選 反向搜尋 表示除了此收件者以外的收件者皆符合條件。
【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。
勾選 反向搜尋 表示除了此主旨條件以外的主旨皆符合條件。
【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。
勾選 反向搜尋 表示除了此來源 IP 以外的來源 IP 皆符合條件。
當基本搜尋條件無法滿足管理者的查詢需求時,點選 image179 進入進階搜尋:
郵件日誌進階搜尋

Fig. 187 郵件日誌進階搜尋

【查詢時間來源】:
· 解析完成日期:歸檔伺服器完成解析此信件的日期
· 收件日期:歸檔伺服器收到此信件的日期
· 內文日期:信件原始檔上表示的日期
【開始時間】:填入要查詢的開始日期、時間。
【結束時間】:填入要查詢的結束日期、時間。
【通聯寄/收件者】:若查詢目標為郵件的通聯寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。
勾選 反向搜尋 表示除了此寄/收件者以外的寄/收件者皆符合條件。
【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。
勾選 反向搜尋 表示除了此主旨條件以外的主旨皆符合條件。
【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。
勾選 反向搜尋 表示除了此來源 IP 以外的來源 IP 皆符合條件。
【目的 IP】:以收件者的 IP 位址為條件搜尋。
勾選 反向搜尋 表示除了此目的 IP 以外的目的 IP 皆符合條件。
【內文寄/收件者】:若查詢目標為郵件的內文寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。
勾選 反向搜尋 表示除了此寄/收件者以外的寄/收件者皆符合條件。
【大小 (KB)】:以郵件的容量大小範圍為搜尋條件,以 KB 為單位。
【附件名稱】:查詢特定附件檔案名稱。
【垃圾郵件分數】:以垃圾郵件過濾機制評分的判斷分數範圍為搜尋條件。
【垃圾郵件處理方式】:經過垃圾郵件過濾機制後,系統的處置方式為何,可選擇全部、正常信件、隔離、刪除、垃圾信主旨或沒有掃描。
【過濾器】:查詢郵件是否有被設定的過濾器觸發過,更可篩選觸發後的處置行為是隔離、刪除或是全部顯示。
【病毒】:以郵件是否含有病毒、被隔離、無法掃描或是沒有掃描過 為搜尋條件。
【Sandstorm】:以郵件是否含有 Sandstorm、被隔離或是沒有掃描過 為搜尋條件。
【郵件方向】:在閘道器模式下,查詢的郵件方向為全部、內對內、內對外、外對內或是其他。
【遞送狀態】:以郵件的遞送狀態為條件進行搜尋,可選擇查詢成功、拒絕、接受、失敗、其他或全部狀態。
【郵件類型】:以郵件的類型為搜尋條件,例如:透通模式、閘道模式、代收模式或同步郵件等。
【附件副檔名】:以郵件中夾帶附件檔案的副檔名為搜尋條件,例如:pdf、dat 等。
可輸入多筆,輸入後按下 Enter 即可再輸入下一筆,會以「OR」方式進行搜尋。
【Message-ID】:以郵件 ID 為搜尋條件,支援萬用字元「? *」。
【郵件標籤】:查詢郵件是否有被系統加入標籤,藉由標籤的選擇,更容易找到特定的郵件。
• 郵件日誌列表
所有進出郵件歸檔伺服器的郵件都會在這裡顯示,除了時間、寄件者帳號及主旨等基本資訊外,
郵件經過系統的垃圾郵件、病毒掃描引擎及過濾器的處置動作,都可以在列表中查看。
郵件日誌

Fig. 188 郵件日誌

image183 遞送狀態】:郵件經過系統後的狀態。
成功:代表郵件從內部成功寄給外部的收件者。
拒絕:外部要進來的郵件,被系統拒絕。
接受:代表郵件從外部接收完成,但正在進行垃圾郵件、病毒及稽核過濾器等判斷,尚未進入收件者郵箱中。
失敗:因為某些原因造成信件傳送沒有完成。
image273 掃描結果】:此郵件掃描結果為何。
image184:病毒
image274:病毒(無法掃描)
image275:Sandstorm
image276:EDM-電子報
image277:垃圾郵件
【分數】:郵件經過垃圾郵件引擎判斷後的分數。
【類型】:此郵件是經由哪一種模式收下來。
image186 郵件方向】:列表郵件進出系統的方向,image187:外對內/ image182:內對外/ image278:內對內。
【處理】:是否對於此封郵件執行隔離、刪除等處理。
image189 歸檔】:此郵件是否有被歸檔。
image190 代表被歸檔,日後使用者可以查詢此封郵件。
image191 代表此封郵件沒被歸檔。
image192 代表重複的郵件,系統只會歸檔其中一封。
image193 詳細】:此郵件的詳細內容,點選圖示可查看此封郵件的詳細資料,如郵件摘要、郵件標頭、主機收件通訊過程等等。
郵件的詳細資料

Fig. 189 郵件的詳細資料

點選【主機收件通訊過程】,將展開詳細資訊列出雙方 SMTP 通聯過程。
SMTP 通聯資料

Fig. 190 SMTP 通聯資料

13-2、隔離日誌

所有被郵件歸檔伺服器隔離的郵件都會列表於此,管理者可以進行搜尋及查看郵件被隔離的原因。
基本搜尋條件

Fig. 191 基本搜尋條件

【開始時間】:填入要查詢的開始日期、時間。
【結束時間】:填入要查詢的結束日期、時間。
【寄/收件者】:若查詢目標為郵件的寄/收件者,則在此輸入其郵件帳號。支援萬用字元「? *」。
【郵件主旨】:以郵件的主旨為條件搜尋,支援萬用字元「? *」。
【來源 IP】:以寄件者的來源 IP 位址為條件搜尋。
預設顯示基本搜尋條件,當基本搜尋條件無法滿足管理者的查詢需求時,可點選 image179 進入進階搜尋。
進階搜尋條件

Fig. 192 進階搜尋條件

除了基本搜尋條件以外,進階搜尋新增條件:
【郵件大小】:此郵件的容量大小範圍。
【過濾器名稱】:以過濾器名稱搜尋。
【過濾器】:是否有被設定的過濾器觸發過。
【病毒】:以郵件是否含有病毒、被隔離、無法掃描或是沒有掃描過 為搜尋條件。
【隔離類型】:以郵件觸發的隔離機制為搜尋條件,可選擇全部 或是其中一種:
病毒/過濾器/個人黑白名單/系統黑白名單/垃圾郵件/異常寄送/Sandstorm/EDM-電子報。
隔離郵件列表

Fig. 193 隔離郵件列表

【來源 IP】:寄件者的來源 IP 位址。
【寄件者】:寄件者的郵件帳號。
【收件者】:此封郵件的收件者。
【郵件主旨】:郵件的主旨。
【大小】:此郵件的容量大小。
【隔離類型】:病毒/過濾器/個人黑白名單/系統黑白名單/垃圾郵件/異常寄送/Sandstorm/EDM-電子報,郵件觸發的隔離機制為何。
image193 詳細】:此郵件的詳細內容,點選圖示可查看此封郵件的詳細資料,如郵件摘要、郵件標頭、主機收件通訊過程等等。

13-3、使用紀錄

管理者登入郵件歸檔伺服器後的所有操作都會被詳細的記錄下來,也包含系統自動到網路上更新病毒碼。
可依條件搜尋,除了時間範圍、操作的管理者等基本條件外,也可針對系統功能目錄下的各個項目搜尋,預設全選。
例如:只搜尋「認證與權限管理」中「網域管理」及「使用者管理」的操作紀錄。
使用紀錄搜尋

Fig. 194 使用紀錄搜尋

列表顯示管理者或系統執行的動作與事件:
管理者使用紀錄列表

Fig. 195 管理者使用紀錄列表

【時間】:此事件發生的時間。
【使用者】:哪個管理者執行動作,系統執行會標示為 SYSTEM。例如:病毒碼自動更新由系統執行。
【登入 IP】:管理者登入系統的 IP,SYSTEM 不會顯示 IP 位址。
【功能】:執行的項目及路徑。
【事件】:執行的動作。例如:登入、ClamAV 自動更新。
【狀態】:這項操作的狀態為正常或錯誤。
image202 詳細】:此事件的詳細資訊。
管理者詳細使用紀錄

Fig. 196 管理者詳細使用紀錄

13-4、封鎖日誌

在封鎖日誌查詢所有被封鎖的紀錄,並且可在此操作解除封鎖或清除封鎖次數。
基本搜尋條件

Fig. 197 基本搜尋條件

【開始時間】:填入要查詢的開始日期、時間。
【結束時間】:填入要查詢的結束日期、時間。
【封鎖類型】:選擇要搜尋的封鎖類型為 SMTP 認證漏洞/過濾器/異常寄送偵測/SMTP 認證異常情形/SMTP 流量異常偵測 或全部。
【來源 IP】:以寄件者的來源 IP 位址為搜尋條件,支援萬用字元「? *」。
【狀態】:查詢被封鎖 IP 目前的狀態為何,可選擇全部或 封鎖/解除封鎖/永久封鎖/暫時封鎖/留意。
預設顯示基本搜尋條件,當基本搜尋條件無法滿足管理者的查詢需求時,可點選 image179 進入進階搜尋。
封鎖日誌進階搜尋

Fig. 198 封鎖日誌進階搜尋

除了基本搜尋條件以外,進階搜尋新增條件:
【寄件者】:查詢被封鎖的寄件者。
【認證帳號】:查詢被封鎖的 SMTP 認證帳號。
【封鎖次數】:以封鎖次數為搜尋條件。

13-5、SMTP 認證失敗日誌

在「郵件稽核及防護 > 郵件防火牆 > 8-3-2、信任 IP 清單」中設定的 IP 即使認證失敗也不會被記錄。
基本搜尋條件

Fig. 199 基本搜尋條件